Hvis din Mac opfører sig mærkeligt, og du har mistanke om et rootkit, så skal du i gang med at downloade og scanne med flere forskellige værktøjer. Det er værd at bemærke, at du kan have et rootkit installeret og ikke engang kender det.
Den vigtigste kendetegnende faktor, der gør et rootkit specielt, er, at det giver en fjernadministrator kontrol over din computer uden din viden. Når nogen har adgang til din computer, kan de blot spionere på dig, eller de kan foretage enhver ændring, de ønsker på din computer. Grunden til at du skal prøve flere forskellige scannere er, at rootkits er notorisk svære at opdage.
For mig, hvis jeg overhovedet har mistanke om, at der er installeret et rootkit på en klientcomputer, sikkerhedskopierer jeg straks dataene og udfører en ren installation af operativsystemet. Dette er naturligvis lettere sagt end gjort, og det er ikke noget, jeg anbefaler alle at gøre. Hvis du ikke er sikker på, om du har et rootkit, er det bedst at bruge følgende værktøjer i håbet om at opdage rootkit. Hvis der ikke dukker noget op ved at bruge flere værktøjer, er du sandsynligvis okay.
Hvis et rootkit bliver fundet, er det op til dig at beslutte, om fjernelsen lykkedes, eller om du bare skal starte fra en ren tavle. Det er også værd at nævne, at da OS X er baseret på UNIX, bruger mange af scannerne kommandolinjen og kræver en del teknisk knowhow. Da denne blog er rettet mod begyndere, vil jeg prøve at holde mig til de nemmeste værktøjer, som du kan bruge til at opdage rootkits på din Mac.
Malwarebytes til Mac
Det mest brugervenlige program, du kan bruge til at fjerne eventuelle rootkits fra din Mac, er Malwarebytes til Mac. Det er ikke kun til rootkits, men også enhver form for Mac-virus eller malware.
Du kan downloade den gratis prøveversion og bruge den i op til 30 dage. Prisen er $40, hvis du vil købe programmet og få beskyttelse i re altid. Det er det nemmeste program at bruge, men det kommer nok heller ikke til at finde et virkelig svært at opdage rootkit, så hvis du kan tage dig tid til at bruge kommandolinjeværktøjerne nedenfor, får du en meget bedre idé om, hvorvidt eller ikke du har et rootkit.
Rootkit Hunter
Rootkit Hunter er mit yndlingsværktøj til at bruge på Mac til at finde rootkits. Det er relativt nemt at bruge, og outputtet er meget nemt at forstå. Gå først til downloadsiden og klik på den grønne downloadknap.
Gå videre og dobbeltklik på .tar.gz-filen for at pakke den ud. Åbn derefter et terminalvindue, og naviger til den mappe ved hjælp af CD-kommandoen.
Når du er der, skal du køre scriptet installer.sh. For at gøre dette skal du bruge følgende kommando:
sudo ./installer.sh – install
Du bliver bedt om at indtaste din adgangskode for at køre scriptet.
Hvis alt gik godt, skulle du se nogle linjer om installationens start og mapper, der oprettes. Til sidst skal der stå Installation Complete.
Før du kører selve rootkit-scanneren, skal du opdatere egenskabsfilen. For at gøre dette skal du skrive følgende kommando:
sudo rkhunter – propupd
Du skulle få en kort besked, der indikerer, at denne proces fungerede. Nu kan du endelig køre selve rootkit-tjekket. For at gøre det, brug følgende kommando:
sudo rkhunter – check
Den første ting, den vil gøre, er at tjekke systemkommandoerne. For det meste ønsker vi grønne OKs her og så få røde Advarsler som muligt. Når det er fuldført, skal du trykke Enter, og det vil begynde at søge efter rootkits.
Her vil du sikre dig, at alle siger Not Found Hvis der kommer noget rødt op her, har du helt sikkert et rootkit installeret. Til sidst vil den foretage nogle kontroller på filsystemet, den lokale vært og netværket.Til allersidst vil det give dig en flot oversigt over resultaterne.
Hvis du vil have flere detaljer om advarslerne, skal du indtaste cd /var/log og derefter indtaste sudo cat rkhunter.log for at se hele logfilen og forklaringerne til advarslerne. Du behøver ikke bekymre dig for meget om kommandoerne eller meddelelserne om startfiler, da de norm alt er OK. Det vigtigste er, at der ikke blev fundet noget, da der blev tjekket for rootkits.
chkrootkit
chkrootkit er et gratis værktøj, der lok alt vil tjekke for tegn på et rootkit. Den søger i øjeblikket efter omkring 69 forskellige rootkits. Gå til webstedet, klik på Download øverst, og klik derefter på chkrootkit seneste kilde tarball for at downloade tar.gz-filen.
Gå til mappen Downloads på din Mac, og dobbeltklik på filen. Dette vil komprimere den og oprette en mappe i Finder kaldet chkrootkit-0.XX. Åbn nu et terminalvindue og naviger til den ukomprimerede mappe.
Dybest set cd'er du ind i mappen Downloads og derefter ind i chkrootkit-mappen. Når du er der, skriver du kommandoen for at lave programmet:
sudo giver mening
Du behøver ikke bruge sudo kommandoen her, men da det kræver root-privilegier at køre, har jeg inkluderet det. Før kommandoen virker, får du muligvis en besked om, at udviklerværktøjerne skal installeres for at bruge make-kommandoen.
Gå videre og klik på Install for at downloade og installere kommandoerne. Når du er færdig, skal du køre kommandoen igen. Du kan muligvis se en masse advarsler osv., men bare ignorer dem. Til sidst skal du skrive følgende kommando for at køre programmet:
sudo ./chkrootkit
Du bør se noget output som det, der er vist nedenfor:
Du vil se en af tre outputmeddelelser: ikke inficeret, ikke testet og ikke fundet Ikke inficeret betyder, at den ikke fandt nogen rootkit-signatur, ikke fundet betyder, at kommandoen, der skal testes, ikke er tilgængelig og ikke testet betyder, at testen ikke blev udført af forskellige årsager.
Forhåbentlig kommer alt ikke inficeret ud, men hvis du ser nogen infektion, er din maskine blevet kompromitteret. Udvikleren af programmet skriver i README-filen, at du som udgangspunkt skal geninstallere OS for at slippe af med rootkittet, hvilket i bund og grund også er det, jeg foreslår.
ESET Rootkit Detector
ESET Rootkit Detector er et andet gratis program, der er meget nemmere at bruge, men den største ulempe er, at det kun virker på OS X 10.6, 10.7 og 10.8. I betragtning af at OS X er næsten til 10.13 lige nu, vil dette program ikke være nyttigt for de fleste mennesker.
Desværre er der ikke mange programmer derude, der søger efter rootkits på Mac. Der er meget mere til Windows, og det er forståeligt, da Windows-brugerbasen er så meget større. Men ved at bruge værktøjerne ovenfor, bør du forhåbentlig få en anstændig idé om, hvorvidt et rootkit er installeret på din maskine. God fornøjelse!
