Se o seu Mac estiver agindo de forma estranha e você suspeitar de um rootkit, você precisará começar a baixar e digitalizar com várias ferramentas diferentes. Vale a pena notar que você pode ter um rootkit instalado e nem saber.

O principal fator de distinção que torna um rootkit especial é que ele dá a um administrador remoto controle sobre seu computador sem o seu conhecimento. Uma vez que alguém tenha acesso ao seu computador, eles podem simplesmente espioná-lo ou podem fazer qualquer alteração que desejarem no seu computador. A razão pela qual você tem que tentar vários scanners diferentes é que os rootkits são notoriamente difíceis de detectar.

Para mim, se eu suspeitar que há um rootkit instalado em um computador cliente, imediatamente faço backup dos dados e executo uma instalação limpa do sistema operacional. Isso é obviamente mais fácil dizer do que fazer e não é algo que eu recomendo que todos façam. Se você não tem certeza se tem um rootkit, é melhor usar as seguintes ferramentas na esperança de descobrir o rootkit. Se nada acontecer usando várias ferramentas, você provavelmente está bem.

Se um rootkit for encontrado, cabe a você decidir se a remoção foi bem-sucedida ou se você deve começar do zero. Também vale a pena mencionar que, como o OS X é baseado em UNIX , muitos dos scanners usam a linha de comando e exigem bastante conhecimento técnico. Como este blog é voltado para iniciantes, tentarei me ater às ferramentas mais fáceis que você pode usar para detectar rootkits no seu Mac .

Malwarebytes para Mac

O programa mais amigável que você pode usar para remover qualquer rootkit do seu Mac é o Malwarebytes for Mac . Não é apenas para rootkits, mas também para qualquer tipo de vírus ou malware para Mac .

Você pode baixar o teste gratuito e usá-lo por até 30 dias. O custo é de $ 40 se você quiser comprar o programa e obter proteção em tempo real. É o programa mais fácil de usar, mas provavelmente também não encontrará um rootkit muito difícil de detectar, portanto, se você puder usar as ferramentas de linha de comando abaixo, terá uma ideia muito melhor se ou você não tem um rootkit.

Caçador de rootkits

Rootkit Hunter é minha ferramenta favorita para usar no Mac para encontrar rootkits. É relativamente fácil de usar e a saída é muito fácil de entender. Primeiro, vá para a página de download^{(download page)} e clique no botão verde de download.

Vá em frente e clique duas vezes no arquivo .tar.gz para descompactá-lo. Em seguida, abra uma janela do Terminal^(Terminal) e navegue até esse diretório usando o comando CD.

Uma vez lá, você precisa executar o script installer.sh. Para fazer isso, use o seguinte comando:

sudo ./installer.sh – install

Você será solicitado a digitar sua senha para executar o script.

Se tudo correu bem, você deverá ver algumas linhas sobre o início da instalação e os diretórios sendo criados. No final, deve dizer Instalação concluída^{( Installation Complete)} .

Antes de executar o verificador de rootkit real, você precisa atualizar o arquivo de propriedades. Para fazer isso, você precisa digitar o seguinte comando:

sudo rkhunter – propupd

Você deve receber uma mensagem curta indicando que esse processo funcionou. Agora você pode finalmente executar a verificação real do rootkit. Para isso, use o seguinte comando:

sudo rkhunter – check

A primeira coisa que ele fará é verificar os comandos do sistema. Na maioria das vezes, queremos OKs verdes aqui e o mínimo possível de Avisos vermelhos. ^(Warnings)Quando isso estiver concluído, você pressionará Enter e começará a verificar se há rootkits.

Aqui você quer garantir que todos eles digam Not Found . Se alguma coisa aparecer em vermelho aqui, você definitivamente tem um rootkit instalado. Por fim, ele fará algumas verificações no sistema de arquivos, no host local e na rede. No final, ele lhe dará um bom resumo dos resultados.

Se você quiser mais detalhes sobre os avisos, digite cd /var/log e depois digite sudo cat rkhunter.log para ver todo o arquivo de log e as explicações para os avisos. Você não precisa se preocupar muito com os comandos ou mensagens de arquivos de inicialização, pois normalmente estão OK. O principal é que nada foi encontrado ao verificar rootkits.

chkrootkit

chkrootkit é uma ferramenta gratuita que verifica localmente os sinais de um rootkit. Atualmente, ele verifica cerca de 69 rootkits diferentes. Vá para o site, clique em Download na parte superior e, em seguida, clique em chkrootkit mais recente Source tarball^{(chkrootkit latest Source tarball)} para baixar o arquivo tar.gz.

Vá para a pasta Downloads no seu ^(Downloads)Mac e clique duas vezes no arquivo. Isso irá descompactá-lo^{(uncompress it)} e criar uma pasta no Finder chamada chkrootkit-0.XX . Agora abra uma janela do Terminal^(Terminal) e navegue até o diretório descompactado.

Basicamente, você cd no diretório Downloads e depois na pasta chkrootkit. Uma vez lá, você digita o comando para fazer o programa:

sudo make sense

Você não precisa usar o comando sudo aqui, mas como ele requer privilégios de root para ser executado, eu o incluí. Antes que o comando funcione, você pode receber uma mensagem dizendo que as ferramentas do desenvolvedor precisam ser instaladas para usar o comando make .

Vá em frente e clique em Instalar^(Install) para baixar e instalar os comandos. Depois de concluído, execute o comando novamente. Você pode ver um monte de avisos, etc., mas apenas ignore-os. Por fim, você digitará o seguinte comando para executar o programa:

sudo ./chkrootkit

Você deve ver alguma saída como o que é mostrado abaixo:

Você verá uma das três mensagens de saída: não infectado^{( not infected)} , não testado^{(not tested)} e não encontrado^{(not found)} . Não infectado significa que não encontrou nenhuma assinatura de rootkit, não encontrado significa que o comando a ser testado não está disponível e não testado significa que o teste não foi realizado devido a vários motivos.

Felizmente^(Hopefully) , tudo não está infectado, mas se você vir alguma infecção, sua máquina foi comprometida^{(machine has been compromised)} . O desenvolvedor do programa escreve no arquivo README que você deve basicamente reinstalar o sistema operacional para se livrar do rootkit, que é basicamente o que eu também sugiro.

Detector de rootkits ESET

O ESET Rootkit Detector^{(ESET Rootkit Detector)} é outro programa gratuito que é muito mais fácil de usar, mas a principal desvantagem é que ele funciona apenas no OS X 10.6 , 10.7 e 10.8. Considerando que o OS X^{(OS X)} está quase na versão 10.13 no momento, este programa não será útil para a maioria das pessoas.

Infelizmente, não há muitos programas por aí que verifiquem rootkits no Mac . Há muito mais para o Windows^(Windows) e isso é compreensível, já que a base de usuários do Windows é muito maior. No entanto, usando as ferramentas acima, você deve ter uma ideia decente se um rootkit está ou não instalado em sua máquina. Aproveitar!

How to Check Your Mac for Rootkits

If your Mac is acting strangely and you suspeсt а roоtkit, then you’ll need tо get to work dоwnloading and scanning with several different tools. It’s worth noting thаt you could have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Como impedir que seu Mac durma

• Como remapear as teclas Fn no seu Mac

• Certas teclas do seu Mac não funcionam corretamente?

• 5 maneiras de forçar o encerramento de aplicativos no seu Mac

• Como criar links simbólicos no seu Mac

• Como se conectar a um servidor remoto ou local em um Mac

• Como redefinir um computador Mac OS X e reinstalar o sistema operacional

• Como digitalizar com captura de imagem no Mac

• Os melhores aplicativos para Mac em 2020

• Os melhores atalhos de teclado do Mac para aprender

• Faça backup do seu Mac usando o Time Machine

• Como usar a câmera de continuidade no iOS e OS X

• Você deve atualizar seu Mac para o Mojave?

• Os melhores atalhos de teclado do Mac OS X

• Como criar uma imagem de disco criptografada no OS X

• Como forçar a lixeira vazia no Mac

• Mouse continua desaparecendo no Mac? 10 coisas para tentar

• Como editar o arquivo hosts no Mac

• O que é outro armazenamento no Mac e como limpá-lo

• 15 dicas para prolongar a vida útil da bateria no Mac