Wenn sich Ihr Mac seltsam verhält und Sie ein Rootkit vermuten, müssen Sie sich ans Werk machen, indem Sie verschiedene Tools herunterladen und scannen. Es ist erwähnenswert, dass Sie ein Rootkit installiert haben könnten, ohne es zu wissen.
Der Hauptunterscheidungsfaktor, der ein Rootkit zu etwas Besonderem macht, besteht darin, dass es jemandem ohne Ihr Wissen einem Remote-Administrator die Kontrolle über Ihren Computer gibt. Sobald jemand Zugriff auf Ihren Computer hat, kann er Sie einfach ausspionieren oder beliebige Änderungen an Ihrem Computer vornehmen. Der Grund, warum Sie mehrere verschiedene Scanner ausprobieren müssen, ist, dass Rootkits notorisch schwer zu erkennen sind.
Wenn ich auch nur den Verdacht habe, dass auf einem Client-Computer ein Rootkit installiert ist, sichere ich sofort die Daten und führe eine Neuinstallation des Betriebssystems durch. Das ist offensichtlich leichter gesagt als getan und ich empfehle es nicht jedem. Wenn Sie sich nicht sicher sind, ob Sie ein Rootkit haben, verwenden Sie am besten die folgenden Tools in der Hoffnung, das Rootkit zu entdecken. Wenn mit mehreren Tools nichts herauskommt, sind Sie wahrscheinlich in Ordnung.
Wird ein Rootkit gefunden, liegt es an Ihnen zu entscheiden, ob die Entfernung erfolgreich war oder ob Sie einfach von vorne anfangen sollten. Erwähnenswert ist auch, dass viele Scanner die Befehlszeile verwenden, da OS X auf UNIX basiert und einiges an technischem Know-how erfordert. Da sich dieser Blog an Anfänger richtet, werde ich versuchen, mich an die einfachsten Tools zu h alten, mit denen Sie Rootkits auf Ihrem Mac erkennen können.
Malwarebytes für Mac
Das benutzerfreundlichste Programm, mit dem Sie Rootkits von Ihrem Mac entfernen können, ist Malwarebytes für Mac. Es ist nicht nur für Rootkits, sondern auch für jede Art von Mac-Viren oder Malware.
Sie können die kostenlose Testversion herunterladen und bis zu 30 Tage lang verwenden. Die Kosten betragen 40 US-Dollar, wenn Sie das Programm kaufen und Echtzeitschutz erh alten möchten. Es ist das am einfachsten zu verwendende Programm, aber es wird wahrscheinlich auch kein wirklich schwer zu erkennendes Rootkit finden. Wenn Sie sich also die Zeit nehmen, die folgenden Befehlszeilentools zu verwenden, werden Sie eine viel bessere Vorstellung davon bekommen, ob oder Sie haben kein Rootkit.
Rootkit Hunter
Rootkit Hunter ist mein bevorzugtes Tool zum Auffinden von Rootkits auf dem Mac. Es ist relativ einfach zu bedienen und die Ausgabe ist sehr einfach zu verstehen. Gehen Sie zunächst zur Download-Seite und klicken Sie auf die grüne Download-Sch altfläche.
Fahren Sie fort und doppelklicken Sie auf die .tar.gz-Datei, um sie zu entpacken. Öffnen Sie dann ein Terminalfenster und navigieren Sie mit dem CD-Befehl zu diesem Verzeichnis.
Sobald Sie dort angekommen sind, müssen Sie das Skript installer.sh ausführen. Verwenden Sie dazu den folgenden Befehl:
sudo ./installer.sh – installieren
Sie werden aufgefordert, Ihr Passwort einzugeben, um das Skript auszuführen.
Wenn alles gut gelaufen ist, sollten Sie einige Zeilen über den Start der Installation und die Erstellung von Verzeichnissen sehen. Am Ende sollte es heißen Installation abgeschlossen.
Bevor Sie den eigentlichen Rootkit-Scanner ausführen, müssen Sie die Eigenschaftendatei aktualisieren. Dazu müssen Sie den folgenden Befehl eingeben:
sudo rkhunter – propupd
Sie sollten eine kurze Meldung erh alten, die besagt, dass dieser Vorgang funktioniert hat. Jetzt können Sie endlich den eigentlichen Rootkit-Check durchführen. Verwenden Sie dazu den folgenden Befehl:
sudo rkhunter – prüfen
Als erstes überprüft es die Systembefehle. Größtenteils wollen wir hier grüne OKs und so wenig rote Warnungen wie möglich. Sobald dies abgeschlossen ist, drücken Sie Enter und es beginnt mit der Suche nach Rootkits.
Hier möchten Sie sicherstellen, dass alle sagen: Not Found Wenn hier etwas rot angezeigt wird, haben Sie definitiv ein Rootkit installiert. Zuletzt werden einige Überprüfungen des Dateisystems, des lokalen Hosts und des Netzwerks durchgeführt.Am Ende erh alten Sie eine schöne Zusammenfassung der Ergebnisse.
Wenn Sie weitere Details zu den Warnungen wünschen, geben Sie cd /var/log und dann ein. sudo cat rkhunter.log, um die gesamte Protokolldatei und die Erläuterungen zu den Warnungen anzuzeigen. Sie müssen sich nicht allzu viele Gedanken über die Meldungen von Befehlen oder Startdateien machen, da diese normalerweise in Ordnung sind. Hauptsache, bei der Suche nach Rootkits wurde nichts gefunden.
chkrootkit
chkrootkit ist ein kostenloses Tool, das lokal nach Anzeichen für ein Rootkit sucht. Es sucht derzeit nach etwa 69 verschiedenen Rootkits. Gehen Sie zur Website, klicken Sie oben auf Download und dann auf chkrootkit Latest Source Tarball, um die tar.gz-Datei herunterzuladen.
Gehen Sie zum Download-Ordner auf Ihrem Mac und doppelklicken Sie auf die Datei. Dadurch wird es dekomprimiert und im Finder ein Ordner namens chkrootkit-0.XX erstellt. Öffnen Sie nun ein Terminalfenster und navigieren Sie zum unkomprimierten Verzeichnis.
Grundsätzlich cd man in das Downloads-Verzeichnis und dann in den chkrootkit-Ordner. Dort geben Sie den Befehl ein, um das Programm zu erstellen:
sudo macht Sinn
Sie müssen den Befehl sudo hier nicht verwenden, aber da für die Ausführung Root-Rechte erforderlich sind, habe ich ihn eingefügt. Bevor der Befehl funktioniert, erh alten Sie möglicherweise eine Meldung, dass die Entwicklertools installiert werden müssen, um den Befehl make verwenden zu können.
Fahren Sie fort und klicken Sie auf Installieren, um die Befehle herunterzuladen und zu installieren. Wenn Sie fertig sind, führen Sie den Befehl erneut aus. Möglicherweise sehen Sie eine Reihe von Warnungen usw., aber ignorieren Sie diese einfach. Zuletzt geben Sie den folgenden Befehl ein, um das Programm auszuführen:
sudo ./chkrootkit
Sie sollten eine Ausgabe wie unten sehen:
Sie sehen eine von drei Ausgabemeldungen: nicht infiziert, nicht getestet und nicht gefunden Nicht infiziert bedeutet, dass keine Rootkit-Signatur gefunden wurde, nicht gefunden bedeutet, dass der zu testende Befehl nicht verfügbar und nicht getestet ist bedeutet, dass der Test aus verschiedenen Gründen nicht durchgeführt wurde.
Hoffentlich kommt alles nicht infiziert heraus, aber wenn Sie eine Infektion sehen, dann wurde Ihr Computer kompromittiert. Der Entwickler des Programms schreibt in der README-Datei, dass Sie das Betriebssystem grundsätzlich neu installieren sollten, um das Rootkit loszuwerden, was ich im Grunde auch vorschlage.
ESET Rootkit-Detektor
ESET Rootkit Detector ist ein weiteres kostenloses Programm, das viel einfacher zu verwenden ist, aber der Hauptnachteil ist, dass es nur unter OS X 10.6, 10.7 und 10.8 funktioniert. Wenn man bedenkt, dass OS X gerade fast auf 10.13 ist, wird dieses Programm für die meisten Leute nicht hilfreich sein.
Leider gibt es nicht viele Programme, die auf dem Mac nach Rootkits suchen. Es gibt viel mehr für Windows und das ist verständlich, da die Windows-Benutzerbasis so viel größer ist. Mit den oben genannten Tools sollten Sie jedoch hoffentlich eine anständige Vorstellung davon bekommen, ob ein Rootkit auf Ihrem Computer installiert ist oder nicht. Genießen!
