Si su Mac está actuando de manera extraña y sospecha que se trata de un rootkit, entonces deberá comenzar a descargar y escanear con varias herramientas diferentes. Vale la pena señalar que podría tener un rootkit instalado y ni siquiera saberlo.
El principal factor distintivo que hace que un rootkit sea especial es que le da a un administrador remoto el control de su computadora sin su conocimiento. Una vez que alguien tiene acceso a su computadora, simplemente puede espiarlo o puede hacer cualquier cambio que desee en su computadora. La razón por la que tiene que probar varios escáneres diferentes es que los rootkits son muy difíciles de detectar.
Para mí, si sospecho que hay un rootkit instalado en una computadora cliente, inmediatamente hago una copia de seguridad de los datos y realizo una instalación limpia del sistema operativo. Obviamente, esto es más fácil decirlo que hacerlo y no es algo que recomiendo que todos hagan. Si no está seguro de tener un rootkit, es mejor utilizar las siguientes herramientas con la esperanza de descubrir el rootkit. Si no aparece nada usando varias herramientas, probablemente estés bien.
Si se encuentra un rootkit, depende de usted decidir si la eliminación fue exitosa o si debe comenzar desde cero. También vale la pena mencionar que dado que OS X se basa en UNIX, muchos de los escáneres usan la línea de comandos y requieren bastante conocimiento técnico. Dado que este blog está dirigido a principiantes, intentaré ceñirme a las herramientas más fáciles que puede usar para detectar rootkits en su Mac.
Malwarebytes para Mac
El programa más fácil de usar que puede usar para eliminar cualquier rootkit de su Mac es Malwarebytes para Mac. No es solo para rootkits, sino también para cualquier tipo de virus o malware de Mac.
Puedes descargar la versión de prueba gratuita y usarla hasta por 30 días. El costo es de $40 si desea comprar el programa y obtener protección en tiempo real. Es el programa más fácil de usar, pero probablemente tampoco encontrará un rootkit realmente difícil de detectar, por lo que si puede tomarse el tiempo para usar las herramientas de línea de comandos a continuación, obtendrá una mejor idea de si o no tienes un rootkit.
Cazador de rootkits
Rootkit Hunter es mi herramienta favorita para usar en Mac para encontrar rootkits. Es relativamente fácil de usar y la salida es muy fácil de entender. En primer lugar, vaya a la página de descarga y haga clic en el botón verde de descarga.
Continúe y haga doble clic en el archivo .tar.gz para descomprimirlo. Luego abra una ventana de Terminal y navegue a ese directorio usando el comando CD.
Una vez allí, debe ejecutar el script installer.sh. Para hacer esto, use el siguiente comando:
sudo ./installer.sh – instalar
Se le pedirá que ingrese su contraseña para ejecutar el script.
Si todo salió bien, debería ver algunas líneas sobre el inicio de la instalación y la creación de directorios. Al final, debería decir Instalación completa.
Antes de ejecutar el detector de rootkits, debe actualizar el archivo de propiedades. Para hacer esto, debe escribir el siguiente comando:
sudo rkhunter – propupd
Debería recibir un breve mensaje que indica que este proceso funcionó. Ahora finalmente puede ejecutar la verificación de rootkit real. Para hacer eso, use el siguiente comando:
sudo rkhunter – marcar
Lo primero que hará es verificar los comandos del sistema. En su mayor parte, queremos OKs verdes aquí y la menor cantidad posible de Advertencias rojas. Una vez que se haya completado, presionará Enter y comenzará a buscar rootkits.
Aquí quiere asegurarse de que todos digan No encontrado Si aparece algo rojo aquí, definitivamente tiene un rootkit instalado. Por último, realizará algunas comprobaciones en el sistema de archivos, el host local y la red.Al final, le dará un buen resumen de los resultados.
Si desea más detalles sobre las advertencias, escriba cd /var/log y luego escriba sudo cat rkhunter.log para ver el archivo de registro completo y las explicaciones de las advertencias. No tiene que preocuparse demasiado por los comandos o los mensajes de los archivos de inicio, ya que normalmente están bien. Lo principal es que no se encontró nada al buscar rootkits.
chkrootkit
chkrootkit es una herramienta gratuita que buscará localmente señales de un rootkit. Actualmente busca alrededor de 69 rootkits diferentes. Vaya al sitio, haga clic en Descargar en la parte superior y luego haga clic en chkrootkit last Source tarball para descargar el archivo tar.gz.
Vaya a la carpeta Descargas en su Mac y haga doble clic en el archivo. Esto lo descomprimirá y creará una carpeta en Finder llamada chkrootkit-0.XX. Ahora abra una ventana de Terminal y navegue hasta el directorio sin comprimir.
Básicamente, ingresa al directorio de Descargas y luego a la carpeta chkrootkit. Una vez allí, escribes el comando para hacer el programa:
sudo tiene sentido
No tiene que usar el comando sudo aquí, pero como requiere privilegios de root para ejecutarse, lo he incluido. Antes de que el comando funcione, es posible que reciba un mensaje que indique que es necesario instalar las herramientas de desarrollo para usar el comando make.
Continúe y haga clic en Instalar para descargar e instalar los comandos. Una vez completado, ejecute el comando nuevamente. Es posible que vea un montón de advertencias, etc., pero simplemente ignórelas. Por último, escribirá el siguiente comando para ejecutar el programa:
sudo ./chkrootkit
Debería ver un resultado como el que se muestra a continuación:
Verá uno de los tres mensajes de salida: no infectado, no probado y no encontrado No infectado significa que no encontró ninguna firma de rootkit, no encontrado significa que el comando que se va a probar no está disponible y no se ha probado significa que la prueba no se realizó por varios motivos.
Con suerte, todo sale sin estar infectado, pero si ve alguna infección, entonces su máquina se ha visto comprometida. El desarrollador del programa escribe en el archivo README que básicamente deberías reinstalar el sistema operativo para deshacerte del rootkit, que es básicamente lo que también sugiero.
Detector de rootkits de ESET
ESET Rootkit Detector es otro programa gratuito que es mucho más fácil de usar, pero el principal inconveniente es que solo funciona en OS X 10.6, 10.7 y 10.8. Teniendo en cuenta que OS X está casi en 10.13 en este momento, este programa no será útil para la mayoría de las personas.
Desafortunadamente, no existen muchos programas que busquen rootkits en Mac. Hay muchos más para Windows y eso es comprensible ya que la base de usuarios de Windows es mucho más grande. Sin embargo, al usar las herramientas anteriores, es de esperar que tenga una idea decente de si un rootkit está instalado o no en su máquina. ¡Disfrutar!
