Si votre Mac agit étrangement et que vous soupçonnez un rootkit, vous devrez alors vous mettre au travail en téléchargeant et en scannant avec plusieurs outils différents. Il convient de noter que vous pourriez avoir un rootkit installé sans même le savoir.
Le principal facteur distinctif qui rend un rootkit spécial est qu'il donne à un administrateur distant le contrôle de votre ordinateur à votre insu. Une fois que quelqu'un a accès à votre ordinateur, il peut simplement vous espionner ou apporter les modifications qu'il souhaite à votre ordinateur. La raison pour laquelle vous devez essayer plusieurs scanners différents est que les rootkits sont notoirement difficiles à détecter.
Pour moi, si je soupçonne même qu'un rootkit est installé sur un ordinateur client, je sauvegarde immédiatement les données et j'effectue une nouvelle installation du système d'exploitation. C'est évidemment plus facile à dire qu'à faire et ce n'est pas quelque chose que je recommande à tout le monde. Si vous n'êtes pas sûr d'avoir un rootkit, il est préférable d'utiliser les outils suivants dans l'espoir de découvrir le rootkit. Si rien ne s'affiche en utilisant plusieurs outils, vous êtes probablement OK.
Si un rootkit est détecté, c'est à vous de décider si la suppression a réussi ou si vous devez simplement repartir de zéro. Il convient également de mentionner que puisque OS X est basé sur UNIX, de nombreux scanners utilisent la ligne de commande et nécessitent un certain savoir-faire technique. Étant donné que ce blog est destiné aux débutants, je vais essayer de m'en tenir aux outils les plus simples que vous pouvez utiliser pour détecter les rootkits sur votre Mac.
Malwarebytes pour Mac
Le programme le plus convivial que vous puissiez utiliser pour supprimer tous les rootkits de votre Mac est Malwarebytes pour Mac. Ce n'est pas seulement pour les rootkits, mais aussi pour tout type de virus ou malware Mac.
Vous pouvez télécharger la version d'essai gratuite et l'utiliser jusqu'à 30 jours. Le coût est de 40 $ si vous souhaitez acheter le programme et bénéficier d'une protection en temps réel. C'est le programme le plus facile à utiliser, mais il ne trouvera probablement pas non plus un rootkit vraiment difficile à détecter, donc si vous pouvez prendre le temps d'utiliser les outils de ligne de commande ci-dessous, vous aurez une bien meilleure idée de si ou pas vous avez un rootkit.
Chasseur de rootkits
Rootkit Hunter est mon outil préféré à utiliser sur Mac pour trouver des rootkits. Il est relativement facile à utiliser et la sortie est très facile à comprendre. Tout d'abord, allez sur la page de téléchargement et cliquez sur le bouton vert de téléchargement.
Allez-y et double-cliquez sur le fichier .tar.gz pour le décompresser. Ouvrez ensuite une fenêtre de terminal et accédez à ce répertoire à l'aide de la commande CD.
Une fois là-bas, vous devez exécuter le script installer.sh. Pour ce faire, utilisez la commande suivante :
sudo ./installer.sh – install
Vous serez invité à saisir votre mot de passe pour exécuter le script.
Si tout s'est bien passé, vous devriez voir quelques lignes concernant le démarrage de l'installation et la création des répertoires. À la fin, il doit indiquer Installation terminée.
Avant d'exécuter le véritable analyseur de rootkit, vous devez mettre à jour le fichier de propriétés. Pour ce faire, vous devez taper la commande suivante :
sudo rkhunter – propupd
Vous devriez recevoir un court message indiquant que ce processus a fonctionné. Maintenant, vous pouvez enfin exécuter la vérification réelle du rootkit. Pour ce faire, utilisez la commande suivante :
sudo rkhunter – check
La première chose qu'il fera est de vérifier les commandes système. Pour la plupart, nous voulons des OKs verts ici et aussi peu de Warnings rouges que possible. Une fois cette opération terminée, vous appuyez sur Entrée et la recherche de rootkits commence.
Ici, vous voulez vous assurer que tous disent Introuvable Si quelque chose apparaît en rouge ici, vous avez certainement un rootkit installé. Enfin, il effectuera quelques vérifications sur le système de fichiers, l'hôte local et le réseau.À la toute fin, il vous donnera un bon résumé des résultats.
Si vous souhaitez plus de détails sur les avertissements, saisissez cd /var/log puis saisissez sudo cat rkhunter.log pour voir l'intégralité du fichier journal et les explications des avertissements. Vous n'avez pas à vous soucier trop des commandes ou des messages des fichiers de démarrage car ceux-ci sont normalement corrects. L'essentiel est que rien n'a été trouvé lors de la recherche de rootkits.
chkrootkit
chkrootkit est un outil gratuit qui vérifie localement les signes d'un rootkit. Il recherche actuellement environ 69 rootkits différents. Allez sur le site, cliquez sur Télécharger en haut, puis cliquez sur chkrootkit latest Source tarball pour télécharger le fichier tar.gz.
Allez dans le dossier Téléchargements sur votre Mac et double-cliquez sur le fichier. Cela le décompressera et créera un dossier dans le Finder appelé chkrootkit-0.XX. Ouvrez maintenant une fenêtre de terminal et accédez au répertoire non compressé.
Fondamentalement, vous accédez au répertoire Téléchargements, puis au dossier chkrootkit. Une fois là, vous tapez la commande pour faire le programme :
sudo a du sens
Vous n'êtes pas obligé d'utiliser la commande sudo ici, mais comme elle nécessite des privilèges root pour s'exécuter, je l'ai incluse. Avant que la commande ne fonctionne, vous pouvez recevoir un message indiquant que les outils de développement doivent être installés pour pouvoir utiliser la commande make.
Allez-y et cliquez sur Install pour télécharger et installer les commandes. Une fois terminé, exécutez à nouveau la commande. Vous pouvez voir un tas d'avertissements, etc., mais ignorez-les simplement. Enfin, vous taperez la commande suivante pour exécuter le programme :
sudo ./chkrootkit
Vous devriez voir une sortie comme celle ci-dessous :
Vous verrez l'un des trois messages de sortie suivants : non infecté, non testé et not found Non infecté signifie qu'il n'a trouvé aucune signature de rootkit, non trouvé signifie que la commande à tester n'est pas disponible et n'a pas été testée signifie que le test n'a pas été effectué pour diverses raisons.
J'espère que tout n'est pas infecté, mais si vous voyez une infection, votre machine a été compromise. Le développeur du programme écrit dans le fichier README que vous devez essentiellement réinstaller le système d'exploitation afin de vous débarrasser du rootkit, ce qui est essentiellement ce que je suggère également.
ESET Rootkit Detector
ESET Rootkit Detector est un autre programme gratuit beaucoup plus facile à utiliser, mais le principal inconvénient est qu'il ne fonctionne que sur OS X 10.6, 10.7 et 10.8. Considérant qu'OS X est presque à 10.13 en ce moment, ce programme ne sera pas utile pour la plupart des gens.
Malheureusement, il n'y a pas beaucoup de programmes qui vérifient les rootkits sur Mac. Il y en a beaucoup plus pour Windows et c'est compréhensible puisque la base d'utilisateurs Windows est beaucoup plus grande. Cependant, en utilisant les outils ci-dessus, vous devriez, espérons-le, avoir une bonne idée de l'installation ou non d'un rootkit sur votre machine. Prendre plaisir!
