Якщо ваш Mac працює дивно, і ви підозрюєте наявність руткіта, то вам потрібно приступити до завантаження та сканування кількома різними інструментами. Варто зазначити, що ви можете мати встановлений руткіт і навіть не знати про це.
Основним відмінним фактором, який робить руткіт особливим, є те, що він надає віддаленому адміністратору контроль над вашим комп’ютером без вашого відома. Коли хтось отримує доступ до вашого комп’ютера, він може просто шпигувати за вами або внести будь-які зміни на вашому комп’ютері. Причина, чому ви повинні спробувати кілька різних сканерів, полягає в тому, що руткіти, як відомо, важко виявити.
Якщо я навіть підозрюю, що на клієнтському комп’ютері встановлено руткіт, я негайно створю резервну копію даних і виконую чисту інсталяцію операційної системи. Це, очевидно, легше сказати, ніж зробити, і я не рекомендую це всім робити. Якщо ви не впевнені, що у вас є руткіт, найкраще скористайтеся наведеними нижче інструментами в надії виявити руткіт. Якщо за допомогою кількох інструментів нічого не виходить, швидше за все, все в порядку.
Якщо руткіт знайдено, ви вирішуєте, чи було видалення успішним, чи вам варто почати з чистого аркуша. Варто також зазначити, що оскільки OS X базується на UNIX, багато сканерів використовують командний рядок і потребують певних технічних знань. Оскільки цей блог орієнтований на початківців, я спробую дотримуватися найпростіших інструментів, які можна використовувати для виявлення руткітів на вашому Mac.
Malwarebytes для Mac
Найзручнішою програмою, яку можна використовувати для видалення будь-яких руткітів із вашого Mac, є Malwarebytes для Mac. Це не лише для руткітів, а й для будь-яких вірусів чи зловмисного програмного забезпечення Mac.
Ви можете завантажити безкоштовну пробну версію та використовувати її протягом 30 днів. Вартість становить 40 доларів, якщо ви хочете придбати програму та отримати захист у режимі реального часу. Це найпростіша у використанні програма, але вона також, ймовірно, не знайде руткіта, який важко виявити, тому, якщо ви знайдете час і використаєте наведені нижче інструменти командного рядка, ви отримаєте набагато краще уявлення про те, чи чи у вас немає руткіта.
Rootkit Hunter
Rootkit Hunter — мій улюблений інструмент для пошуку руткітів на Mac. Він відносно простий у використанні, і результат дуже легко зрозуміти. По-перше, перейдіть на сторінку завантаження та натисніть зелену кнопку завантаження.
Двічі клацніть файл .tar.gz, щоб розпакувати його. Потім відкрийте вікно терміналу та перейдіть до цього каталогу за допомогою команди CD.
Потрапивши там, потрібно запустити сценарій installer.sh. Для цього скористайтеся такою командою:
sudo ./installer.sh – встановлення
Вам буде запропоновано ввести пароль для запуску сценарію.
Якщо все пройшло добре, ви повинні побачити деякі рядки про початок встановлення та створення каталогів. У кінці має бути написано Встановлення завершено.
Перш ніж запускати справжній сканер руткітів, потрібно оновити файл властивостей. Для цього потрібно ввести таку команду:
sudo rkhunter – propupd
Ви повинні отримати коротке повідомлення про те, що цей процес спрацював. Тепер ви нарешті можете запустити фактичну перевірку руткітів. Для цього скористайтеся такою командою:
sudo rkhunter – перевірка
Перше, що він зробить, це перевірить системні команди. Здебільшого нам потрібні зелені OKs тут і якомога менше червоних Попередження. Коли це буде завершено, ви натиснете Enter і почнеться перевірка руткітів.
Тут ви хочете переконатися, що всі вони скажуть Не знайдено Якщо тут щось стане червоним, у вас точно встановлено руткіт. Нарешті, він виконає деякі перевірки файлової системи, локального хосту та мережі.У самому кінці він дасть вам гарний підсумок результатів.
Якщо вам потрібні додаткові відомості про попередження, введіть cd /var/log, а потім введіть sudo cat rkhunter.log, щоб переглянути весь файл журналу та пояснення до попереджень. Вам не потрібно надто турбуватися про команди або повідомлення про файли запуску, оскільки вони зазвичай нормальні. Головне, щоб при перевірці руткітів нічого не знайшлося.
chkrootkit
chkrootkit — це безкоштовний інструмент, який локально перевіряє ознаки руткіта. Зараз він перевіряє близько 69 різних руткітів. Перейдіть на сайт, клацніть «Завантажити» вгорі, а потім клацніть chkrootkit latest Source tarball, щоб завантажити файл tar.gz.
Перейдіть до папки «Завантаження» на вашому Mac і двічі клацніть файл. Це розпакує його та створить у Finder папку під назвою chkrootkit-0.XX. Тепер відкрийте вікно терміналу та перейдіть до нестисненого каталогу.
Загалом, ви переходите в каталог завантажень, а потім у папку chkrootkit. Опинившись там, ви вводите команду для створення програми:
sudo має сенс
Тут не обов’язково використовувати команду sudo, але оскільки для її запуску потрібні права root, я включив її. Перш ніж команда запрацює, ви можете отримати повідомлення про те, що інструменти розробника потрібно встановити, щоб використовувати команду make.
Натисніть Install, щоб завантажити та встановити команди. Після завершення виконайте команду ще раз. Ви можете побачити купу попереджень тощо, але просто ігноруйте їх. Нарешті, ви введете таку команду, щоб запустити програму:
sudo ./chkrootkit
Ви маєте побачити вихідні дані, як показано нижче:
Ви побачите одне з трьох вихідних повідомлень: не інфіковано, не перевірено і не знайдено Не інфіковано означає, що не знайдено жодного підпису руткіта, не знайдено означає, що команда, яку потрібно перевірити, недоступна та не перевірена означає, що тест не було виконано з різних причин.
Сподіваємося, що все виходить незараженим, але якщо ви бачите будь-яку інфекцію, це означає, що вашу машину зламано. Розробник програми пише у файлі README, що вам слід перевстановити ОС, щоб позбутися руткіта, що я також пропоную.
Детектор руткітів ESET
ESET Rootkit Detector — ще одна безкоштовна програма, якою набагато простіше користуватися, але основним недоліком є те, що вона працює лише на OS X 10.6, 10.7 і 10.8. Враховуючи, що OS X зараз майже до версії 10.13, ця програма не буде корисною для більшості людей.
На жаль, існує не так багато програм, які перевіряють руткіти на Mac. Є набагато більше для Windows, і це зрозуміло, оскільки база користувачів Windows набагато більша. Однак, сподіваючись, використовуючи наведені вище інструменти, ви отримаєте пристойне уявлення про те, чи встановлено руткіт на вашій машині. Насолоджуйтесь!
