Als je Mac vreemd doet en je vermoedt een rootkit, dan moet je aan de slag gaan met downloaden en scannen met verschillende tools. Het is vermeldenswaard dat je een rootkit kan hebben geïnstalleerd zonder dat je het weet.

De belangrijkste onderscheidende factor die een rootkit speciaal maakt, is dat het iemand een externe beheerder de controle over uw computer geeft zonder uw medeweten. Zodra iemand toegang heeft tot uw computer, kunnen ze u gewoon bespioneren of ze kunnen elke gewenste wijziging in uw computer aanbrengen. De reden waarom je verschillende scanners moet proberen, is dat rootkits notoir moeilijk te detecteren zijn.

Artist rendering van Rootkit

Als ik zelfs maar vermoed dat er een rootkit op een clientcomputer is geïnstalleerd, maak ik onmiddellijk een back-up van de gegevens en voer ik een schone installatie van het besturingssysteem uit. Dit is natuurlijk makkelijker gezegd dan gedaan en het is niet iets dat ik iedereen aanraad. Als je niet zeker weet of je een rootkit hebt, kun je het beste de volgende tools gebruiken in de hoop de rootkit te ontdekken. Als er niets opduikt met meerdere tools, zit je waarschijnlijk goed.

Als er een rootkit wordt gevonden, is het aan jou om te beslissen of de verwijdering is geslaagd of dat je gewoon met een schone lei moet beginnen. Het is ook vermeldenswaard dat aangezien OS X op ^{(OS X)}UNIX is gebaseerd , veel scanners de opdrachtregel gebruiken en nogal wat technische kennis vereisen. Aangezien deze blog gericht is op beginners, ga ik proberen de gemakkelijkste tools te gebruiken die je kunt gebruiken om rootkits op je Mac te detecteren .

Malwarebytes voor Mac

Het meest gebruiksvriendelijke programma dat u kunt gebruiken om rootkits van uw Mac te verwijderen, is Malwarebytes voor Mac^{(Malwarebytes for Mac)} . Het is niet alleen voor rootkits, maar ook voor alle soorten Mac - virussen of malware.

Malwarebytes-venster

U kunt de gratis proefversie downloaden en maximaal 30 dagen gebruiken. De kosten bedragen $ 40 als u het programma wilt kopen en realtime bescherming wilt krijgen. Het is het gemakkelijkste programma om te gebruiken, maar het zal waarschijnlijk ook geen echt moeilijk te detecteren rootkit vinden, dus als u de tijd kunt nemen om de onderstaande opdrachtregelhulpmiddelen te gebruiken, krijgt u een veel beter idee of of niet je hebt een rootkit.

Rootkit-jager

Rootkit Hunter is mijn favoriete tool om op de Mac te gebruiken voor het vinden van rootkits. Het is relatief eenvoudig te gebruiken en de uitvoer is heel gemakkelijk te begrijpen. Ga eerst naar de downloadpagina^{(download page)} en klik op de groene downloadknop.

Rootkit Hunter-venster

Ga je gang en dubbelklik op het .tar.gz - bestand om het uit te pakken. Open vervolgens een Terminal- venster en navigeer naar die map met de opdracht CD.

Navigeer naar de map met de opdracht CD

Eenmaal daar, moet u het script installer.sh uitvoeren. Gebruik hiervoor de volgende opdracht:

sudo ./installer.sh – install

U wordt gevraagd uw wachtwoord in te voeren om het script uit te voeren.

Voer wachtwoord in bij prompt

Als alles goed is gegaan, zou u enkele regels moeten zien over het starten van de installatie en het maken van mappen. Aan het einde zou het moeten zeggen Installatie voltooid^{( Installation Complete)} .

Installatie starten

Voordat u de daadwerkelijke rootkit-scanner uitvoert, moet u het eigenschappenbestand bijwerken. Om dit te doen, moet u de volgende opdracht typen:

sudo rkhunter – propupd

Voer opdracht in - propupd

U zou een kort bericht moeten krijgen dat aangeeft dat dit proces heeft gewerkt. Nu kunt u eindelijk de daadwerkelijke rootkit-controle uitvoeren. Gebruik hiervoor de volgende opdracht:

sudo rkhunter – check

Voer commando in - check

Het eerste dat het zal doen, is de systeemopdrachten controleren. Voor het grootste deel willen we hier groene OK's en zo min mogelijk rode waarschuwingen^(Warnings) . Zodra dat is voltooid, drukt u op Enter en begint het te controleren op rootkits.

Rootkit-controlevenster met groen Niet gevonden

Hier wil je zeker weten dat ze allemaal Niet gevonden^{(Not Found)} zeggen . Als hier iets roods opduikt, heb je zeker een rootkit geïnstalleerd. Ten slotte voert het enkele controles uit op het bestandssysteem, de lokale host en het netwerk. Helemaal aan het einde krijg je een mooie samenvatting van de resultaten.

Overzicht systeemcontroles

Als je meer details wilt over de waarschuwingen, typ dan cd /var/log en typ vervolgens sudo cat rkhunter.log om het volledige logbestand en de uitleg voor de waarschuwingen te zien. U hoeft zich niet al te veel zorgen te maken over de opdrachten of berichten over opstartbestanden, aangezien die normaal gesproken in orde zijn. Het belangrijkste is dat er niets werd gevonden bij het controleren op rootkits.

chkrootkit

chkrootkit is een gratis tool die lokaal controleert op tekenen van een rootkit. Het controleert momenteel op ongeveer 69 verschillende rootkits. Ga naar de site, klik bovenaan op Downloaden en klik vervolgens op ^(Download)chkrootkit nieuwste Source tarball^{(chkrootkit latest Source tarball)} om het tar.gz-bestand te downloaden.

chrootkit-downloadvenster

Ga naar de map Downloads op uw Mac en dubbelklik op het bestand. Dit zal het decomprimeren^{(uncompress it)} en een map maken in Finder genaamd chkrootkit-0.XX . Open nu een Terminal- venster en navigeer naar de niet-gecomprimeerde map.

chrootkit-map

Kortom, je cd naar de map Downloads en vervolgens naar de map chkrootkit. Eenmaal daar typ je de opdracht om het programma te maken:

sudo make sense

Je hoeft de opdracht sudo hier niet te gebruiken, maar omdat het root-rechten vereist om te worden uitgevoerd, heb ik het toegevoegd. Voordat de opdracht werkt, krijgt u mogelijk een bericht dat de ontwikkelaarstools moeten worden geïnstalleerd om de opdracht make te^(make) gebruiken.

Dialoogvenster voor ontwikkelaarstools installeren

Ga je gang en klik op Installeren^(Install) om de opdrachten te downloaden en te installeren. Als u klaar bent, voert u de opdracht opnieuw uit. U kunt een heleboel waarschuwingen, enz. Zien, maar negeer die gewoon. Ten slotte typt u de volgende opdracht om het programma uit te voeren:

sudo ./chkrootkit

Je zou wat output moeten zien zoals hieronder wordt getoond:

uitvoer van chrootkit

U ziet een van de drie uitvoerberichten: niet geïnfecteerd^{( not infected)} , niet getest^{(not tested)} en niet gevonden^{(not found)} . Niet geïnfecteerd betekent dat er geen rootkit-handtekening is gevonden, niet gevonden betekent dat het te testen commando niet beschikbaar is en niet getest betekent dat de test om verschillende redenen niet is uitgevoerd.

Hopelijk^(Hopefully) komt alles er niet geïnfecteerd uit, maar als je een infectie ziet, is je machine gecompromitteerd^{(machine has been compromised)} . De ontwikkelaar van het programma schrijft in het README -bestand dat je in principe het besturingssysteem opnieuw moet installeren om van de rootkit af te komen, wat ik eigenlijk ook voorstel.

ESET Rootkit-detector

ESET Rootkit Detector is een ander gratis programma dat veel gemakkelijker te gebruiken is, maar het belangrijkste nadeel is dat het alleen werkt op OS X 10.6 , 10.7 en 10.8. Aangezien OS X nu bijna 10.13 is, zal dit programma voor de meeste mensen niet nuttig zijn.

ESET Rootkit Detector downloadvenster

Helaas zijn er niet veel programma's die op rootkits op Mac controleren . Er zijn veel meer voor Windows en dat is begrijpelijk aangezien het Windows -gebruikersbestand zoveel groter is. Met behulp van de bovenstaande tools zou je hopelijk een goed idee moeten krijgen of er al dan niet een rootkit op je computer is geïnstalleerd. Genieten van!

How to Check Your Mac for Rootkits

If your Maс is acting strangely and уou suѕpect a rootkit, then уou’ll need to get to wоrk downloading and scanning with several different tools. It’s wоrth noting that you could have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

Artist rendering of Rootkit

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

Malwarebytes window

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Rootkit Hunter window

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Navigate to directory using CD command

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

Enter password at prompt

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Installation starting

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

Enter command – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

Enter command – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Rootkit checking window with green Not found

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

System checks summary

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

chrootkit download window

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

chrootkit directory

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Install developer tools dialog

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

output of chrootkit

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

ESET Rootkit Detector download window

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Jay Timmermans

About the author

Ik ben een softwareontwikkelaar met meer dan 10 jaar ervaring. Ik ben gespecialiseerd in Mac-programmering en heb duizenden regels code geschreven voor verschillende Mac-programma's, waaronder maar niet beperkt tot: TextEdit, GarageBand, iMovie en Inkscape. Ook heb ik ervaring met Linux en Windows ontwikkeling. Dankzij mijn vaardigheden als ontwikkelaar kan ik hoogwaardige, uitgebreide tutorials schrijven voor verschillende softwareontwikkelingsplatforms - van macOS tot Linux - waardoor mijn tutorials de perfecte keuze zijn voor diegenen die meer willen weten over de tools die ze gebruiken.

Hoe u uw Mac kunt controleren op rootkits

Malwarebytes voor Mac

Rootkit-jager

chkrootkit

ESET Rootkit-detector

How to Check Your Mac for Rootkits

Malwarebytes for Mac

Rootkit Hunter

chkrootkit

ESET Rootkit Detector

Jay Timmermans

About the author

Related posts

Hoe u kunt voorkomen dat uw Mac slaapt

Hoe Fn-toetsen op uw Mac opnieuw toe te wijzen?

Bepaalde toetsen op uw Mac werken niet goed?

5 manieren om apps op uw Mac te stoppen

Symlinks maken op uw Mac

15 tips om de levensduur van de batterij op Mac te verlengen

Scannen met Image Capture op Mac

Activeringsslot inschakelen op uw Mac-computer

De beste apps voor Mac in 2020

Hoe de 'Picture In Picture'-modus op uw Mac in te schakelen en te gebruiken

Afdrukken in zwart-wit op Mac

Schijfhulpprogramma gebruiken om een back-up van uw Mac te maken

Een MAC-adres wijzigen of vervalsen in Windows of OS X

Mac OS X en Mac-apps bijwerken vanaf Terminal

De beste Mac-sneltoetsen om te leren

10 beste gratis Mac-games die je nu kunt downloaden

Muis blijft verdwijnen op Mac? 10 dingen om te proberen

Mac Firewall: inschakelen en configureren?

Fix "Kan de software voor printer niet installeren" op OS X

Opgeslagen wifi-wachtwoorden (WPA, WEP) bekijken op OS X

Hoe u uw Mac kunt controleren op rootkits

Malwarebytes voor Mac

Rootkit-jager

chkrootkit

ESET Rootkit-detector

How to Check Your Mac for Rootkits

Malwarebytes for Mac

Rootkit Hunter

chkrootkit

ESET Rootkit Detector

Jay Timmermans

About the author

Related posts

Hoe u kunt voorkomen dat uw Mac slaapt

Hoe Fn-toetsen op uw Mac opnieuw toe te wijzen?

Bepaalde toetsen op uw Mac werken niet goed?

5 manieren om apps op uw Mac te stoppen

Symlinks maken op uw Mac

15 tips om de levensduur van de batterij op Mac te verlengen

Scannen met Image Capture op Mac

Activeringsslot inschakelen op uw Mac-computer

De beste apps voor Mac in 2020

Hoe de 'Picture In Picture'-modus op uw Mac in te schakelen en te gebruiken

Afdrukken in zwart-wit op Mac

Schijfhulpprogramma gebruiken om een ​​back-up van uw Mac te maken

Een MAC-adres wijzigen of vervalsen in Windows of OS X

Mac OS X en Mac-apps bijwerken vanaf Terminal

De beste Mac-sneltoetsen om te leren

10 beste gratis Mac-games die je nu kunt downloaden

Muis blijft verdwijnen op Mac? 10 dingen om te proberen

Mac Firewall: inschakelen en configureren?

Fix "Kan de software voor printer niet installeren" op OS X

Opgeslagen wifi-wachtwoorden (WPA, WEP) bekijken op OS X

Schijfhulpprogramma gebruiken om een back-up van uw Mac te maken