Como verificar se há rootkits no seu Mac

Se o seu Mac estiver agindo de forma estranha e você suspeitar de um rootkit, você precisará começar a baixar e digitalizar com várias ferramentas diferentes. Vale a pena notar que você pode ter um rootkit instalado e nem saber.

O principal fator de distinção que torna um rootkit especial é que ele dá a um administrador remoto controle sobre seu computador sem o seu conhecimento. Uma vez que alguém tenha acesso ao seu computador, eles podem simplesmente espioná-lo ou podem fazer qualquer alteração que desejarem no seu computador. A razão pela qual você tem que tentar vários scanners diferentes é que os rootkits são notoriamente difíceis de detectar.

Renderização artística do Rootkit

Para mim, se eu suspeitar que há um rootkit instalado em um computador cliente, imediatamente faço backup dos dados e executo uma instalação limpa do sistema operacional. Isso é obviamente mais fácil dizer do que fazer e não é algo que eu recomendo que todos façam. Se você não tem certeza se tem um rootkit, é melhor usar as seguintes ferramentas na esperança de descobrir o rootkit. Se nada acontecer usando várias ferramentas, você provavelmente está bem.

Se um rootkit for encontrado, cabe a você decidir se a remoção foi bem-sucedida ou se você deve começar do zero. Também vale a pena mencionar que, como o OS X é baseado em UNIX , muitos dos scanners usam a linha de comando e exigem bastante conhecimento técnico. Como este blog é voltado para iniciantes, tentarei me ater às ferramentas mais fáceis que você pode usar para detectar rootkits no seu Mac .

Malwarebytes para Mac

O programa mais amigável que você pode usar para remover qualquer rootkit do seu Mac é o Malwarebytes for Mac . Não é apenas para rootkits, mas também para qualquer tipo de vírus ou malware para Mac .

Janela Malwarebytes

Você pode baixar o teste gratuito e usá-lo por até 30 dias. O custo é de $ 40 se você quiser comprar o programa e obter proteção em tempo real. É o programa mais fácil de usar, mas provavelmente também não encontrará um rootkit muito difícil de detectar, portanto, se você puder usar as ferramentas de linha de comando abaixo, terá uma ideia muito melhor se ou você não tem um rootkit.

Caçador de rootkits

Rootkit Hunter é minha ferramenta favorita para usar no Mac para encontrar rootkits. É relativamente fácil de usar e a saída é muito fácil de entender. Primeiro, vá para a página de download(download page) e clique no botão verde de download.

Janela do caçador de rootkits

Vá em frente e clique duas vezes no arquivo .tar.gz para descompactá-lo. Em seguida, abra uma janela do Terminal(Terminal) e navegue até esse diretório usando o comando CD.

Navegue para o diretório usando o comando CD

Uma vez lá, você precisa executar o script installer.sh. Para fazer isso, use o seguinte comando:

sudo ./installer.sh – install

Você será solicitado a digitar sua senha para executar o script.

Digite a senha no prompt

Se tudo correu bem, você deverá ver algumas linhas sobre o início da instalação e os diretórios sendo criados. No final, deve dizer Instalação concluída( Installation Complete) .

Início da instalação

Antes de executar o verificador de rootkit real, você precisa atualizar o arquivo de propriedades. Para fazer isso, você precisa digitar o seguinte comando:

sudo rkhunter – propupd

Digite o comando - propupd

Você deve receber uma mensagem curta indicando que esse processo funcionou. Agora você pode finalmente executar a verificação real do rootkit. Para isso, use o seguinte comando:

sudo rkhunter – check

Digite o comando - verifique

A primeira coisa que ele fará é verificar os comandos do sistema. Na maioria das vezes, queremos OKs verdes aqui e o mínimo possível de Avisos vermelhos. (Warnings)Quando isso estiver concluído, você pressionará Enter e começará a verificar se há rootkits.

Janela de verificação de rootkit com verde Não encontrado

Aqui você quer garantir que todos eles digam Not Found . Se alguma coisa aparecer em vermelho aqui, você definitivamente tem um rootkit instalado. Por fim, ele fará algumas verificações no sistema de arquivos, no host local e na rede. No final, ele lhe dará um bom resumo dos resultados.

Resumo das verificações do sistema

Se você quiser mais detalhes sobre os avisos, digite cd /var/log e depois digite sudo cat rkhunter.log para ver todo o arquivo de log e as explicações para os avisos. Você não precisa se preocupar muito com os comandos ou mensagens de arquivos de inicialização, pois normalmente estão OK. O principal é que nada foi encontrado ao verificar rootkits.

chkrootkit

chkrootkit é uma ferramenta gratuita que verifica localmente os sinais de um rootkit. Atualmente, ele verifica cerca de 69 rootkits diferentes. Vá para o site, clique em Download na parte superior e, em seguida, clique em chkrootkit mais recente Source tarball(chkrootkit latest Source tarball) para baixar o arquivo tar.gz.

janela de download do chrootkit

Vá para a pasta Downloads no seu (Downloads)Mac e clique duas vezes no arquivo. Isso irá descompactá-lo(uncompress it) e criar uma pasta no Finder chamada chkrootkit-0.XX . Agora abra uma janela do Terminal(Terminal) e navegue até o diretório descompactado.

diretório chrootkit

Basicamente, você cd no diretório Downloads e depois na pasta chkrootkit. Uma vez lá, você digita o comando para fazer o programa:

sudo make sense

Você não precisa usar o comando sudo aqui, mas como ele requer privilégios de root para ser executado, eu o incluí. Antes que o comando funcione, você pode receber uma mensagem dizendo que as ferramentas do desenvolvedor precisam ser instaladas para usar o comando make .

Caixa de diálogo Instalar ferramentas do desenvolvedor

Vá em frente e clique em Instalar(Install) para baixar e instalar os comandos. Depois de concluído, execute o comando novamente. Você pode ver um monte de avisos, etc., mas apenas ignore-os. Por fim, você digitará o seguinte comando para executar o programa:

sudo ./chkrootkit

Você deve ver alguma saída como o que é mostrado abaixo:

saída do chrootkit

Você verá uma das três mensagens de saída: não infectado( not infected) , não testado(not tested) e não encontrado(not found) . Não infectado significa que não encontrou nenhuma assinatura de rootkit, não encontrado significa que o comando a ser testado não está disponível e não testado significa que o teste não foi realizado devido a vários motivos.

Felizmente(Hopefully) , tudo não está infectado, mas se você vir alguma infecção, sua máquina foi comprometida(machine has been compromised) . O desenvolvedor do programa escreve no arquivo README que você deve basicamente reinstalar o sistema operacional para se livrar do rootkit, que é basicamente o que eu também sugiro.

Detector de rootkits ESET

O ESET Rootkit Detector(ESET Rootkit Detector) é outro programa gratuito que é muito mais fácil de usar, mas a principal desvantagem é que ele funciona apenas no OS X 10.6 , 10.7 e 10.8. Considerando que o OS X(OS X) está quase na versão 10.13 no momento, este programa não será útil para a maioria das pessoas.

Janela de download do ESET Rootkit Detector

Infelizmente, não há muitos programas por aí que verifiquem rootkits no Mac . Há muito mais para o Windows(Windows) e isso é compreensível, já que a base de usuários do Windows é muito maior. No entanto, usando as ferramentas acima, você deve ter uma ideia decente se um rootkit está ou não instalado em sua máquina. Aproveitar!



About the author

Sou engenheiro de software com mais de 10 anos de experiência na indústria Xbox. Sou especialista em desenvolvimento de jogos e testes de segurança. Também sou um revisor experiente e tenho trabalhado em projetos para alguns dos maiores nomes dos jogos, incluindo Ubisoft, Microsoft e Sony. No meu tempo livre, gosto de jogar videogame e assistir a programas de TV.



Related posts