Se o seu Mac estiver agindo de forma estranha e você suspeitar de um rootkit, precisará começar a baixar e escanear com várias ferramentas diferentes. Vale a pena notar que você pode ter um rootkit instalado e nem saber disso.
O principal fator distintivo que torna um rootkit especial é que ele permite que um administrador remoto controle seu computador sem o seu conhecimento. Uma vez que alguém tenha acesso ao seu computador, eles podem simplesmente espioná-lo ou fazer qualquer alteração que desejarem em seu computador. A razão pela qual você deve tentar vários scanners diferentes é que os rootkits são notoriamente difíceis de detectar.
Para mim, se eu suspeitar que há um rootkit instalado em um computador cliente, imediatamente faço backup dos dados e executo uma instalação limpa do sistema operacional. Obviamente, é mais fácil dizer do que fazer e não é algo que recomendo a todos. Se você não tem certeza se possui um rootkit, é melhor usar as seguintes ferramentas na esperança de descobrir o rootkit. Se nada aparecer usando várias ferramentas, você provavelmente está bem.
Se um rootkit for encontrado, cabe a você decidir se a remoção foi bem-sucedida ou se deve apenas começar do zero. Também vale a pena mencionar que, como o OS X é baseado no UNIX, muitos dos scanners usam a linha de comando e exigem bastante conhecimento técnico. Como este blog é voltado para iniciantes, tentarei me ater às ferramentas mais fáceis que você pode usar para detectar rootkits no seu Mac.
Malwarebytes para Mac
O programa mais amigável que você pode usar para remover quaisquer rootkits do seu Mac é o Malwarebytes for Mac. Não é apenas para rootkits, mas também para qualquer tipo de vírus ou malware do Mac.
Você pode baixar o teste gratuito e usá-lo por até 30 dias. O custo é de $ 40 se você quiser comprar o programa e obter proteção em tempo real. É o programa mais fácil de usar, mas também provavelmente não encontrará um rootkit realmente difícil de detectar, portanto, se você reservar um tempo para usar as ferramentas de linha de comando abaixo, terá uma ideia muito melhor se você não tem um rootkit.
Rootkit Hunter
Rootkit Hunter é minha ferramenta favorita para usar no Mac para encontrar rootkits. É relativamente fácil de usar e a saída é muito fácil de entender. Em primeiro lugar, vá para a página de download e clique no botão verde de download.
Vá em frente e clique duas vezes no arquivo .tar.gz para descompactá-lo. Em seguida, abra uma janela do Terminal e navegue até esse diretório usando o comando CD.
Uma vez lá, você precisa executar o script installer.sh. Para fazer isso, use o seguinte comando:
sudo ./installer.sh – install
Você será solicitado a inserir sua senha para executar o script.
Se tudo correu bem, você deve ver algumas linhas sobre o início da instalação e os diretórios sendo criados. No final, deve dizer Instalação concluída.
Antes de executar o verificador de rootkit real, você deve atualizar o arquivo de propriedades. Para fazer isso, você precisa digitar o seguinte comando:
sudo rkhunter – propupd
Você deve receber uma mensagem curta indicando que este processo funcionou. Agora você pode finalmente executar a verificação real do rootkit. Para fazer isso, use o seguinte comando:
sudo rkhunter – check
A primeira coisa que ele fará é verificar os comandos do sistema. Na maioria das vezes, queremos OKs aqui e o mínimo possível de Avisos vermelhos. Depois de concluído, você pressionará Enter e ele começará a verificar se há rootkits.
Aqui você quer garantir que todos digam Não encontrado Se algo aparecer vermelho aqui, você definitivamente tem um rootkit instalado. Por fim, ele fará algumas verificações no sistema de arquivos, no host local e na rede.No final, ele fornecerá um bom resumo dos resultados.
Se quiser mais detalhes sobre os avisos, digite cd /var/log e depois digite sudo cat rkhunter.log para ver todo o arquivo de log e as explicações dos avisos. Você não precisa se preocupar muito com os comandos ou mensagens de arquivos de inicialização, pois normalmente estão OK. O principal é que nada foi encontrado durante a verificação de rootkits.
chkrootkit
chkrootkit é uma ferramenta gratuita que verifica localmente sinais de um rootkit. Atualmente, ele verifica cerca de 69 rootkits diferentes. Acesse o site, clique em Download na parte superior e clique em chkrootkit last Source tarball para baixar o arquivo tar.gz.
Vá para a pasta Downloads no seu Mac e clique duas vezes no arquivo. Isso irá descompactá-lo e criar uma pasta no Finder chamada chkrootkit-0.XX. Agora abra uma janela do Terminal e navegue até o diretório descompactado.
Basicamente, você cd no diretório Downloads e, em seguida, na pasta chkrootkit. Uma vez lá, você digita o comando para fazer o programa:
sudo faz sentido
Você não precisa usar o comando sudo aqui, mas como ele requer privilégios de root para ser executado, eu o incluí. Antes que o comando funcione, você pode receber uma mensagem dizendo que as ferramentas do desenvolvedor precisam ser instaladas para usar o comando make.
Vá em frente e clique em Install para baixar e instalar os comandos. Depois de concluído, execute o comando novamente. Você pode ver um monte de avisos, etc., mas apenas ignore-os. Por fim, você digitará o seguinte comando para executar o programa:
sudo ./chkrootkit
Você deve ver uma saída como a mostrada abaixo:
Você verá uma das três mensagens de saída: não infectado, não testado e não encontrado Não infectado significa que não encontrou nenhuma assinatura de rootkit, não encontrado significa que o comando a ser testado não está disponível e não foi testado significa que o teste não foi realizado por vários motivos.
Esperamos que tudo não esteja infectado, mas se você vir alguma infecção, sua máquina foi comprometida. O desenvolvedor do programa escreve no arquivo README que você deve basicamente reinstalar o sistema operacional para se livrar do rootkit, que é basicamente o que também sugiro.
ESET Rootkit Detector
ESET Rootkit Detector é outro programa gratuito muito mais fácil de usar, mas a principal desvantagem é que só funciona no OS X 10.6, 10.7 e 10.8. Considerando que o OS X está quase no 10.13 agora, este programa não será útil para a maioria das pessoas.
Infelizmente, não existem muitos programas que verificam rootkits no Mac. Há muito mais para o Windows e isso é compreensível, pois a base de usuários do Windows é muito maior. No entanto, usando as ferramentas acima, você deve ter uma ideia decente se um rootkit está ou não instalado em sua máquina. Aproveitar!
