Cómo comprobar si hay rootkits en tu Mac

Si su Mac está actuando de manera extraña y sospecha que se trata de un rootkit, entonces deberá comenzar a descargar y escanear con varias herramientas diferentes. Vale la pena señalar que podría tener un rootkit instalado y ni siquiera saberlo.

El principal factor distintivo que hace que un rootkit sea especial es que le da a un administrador remoto el control de su computadora sin su conocimiento. Una vez que alguien tiene acceso a su computadora, simplemente puede espiarlo o puede hacer cualquier cambio que desee en su computadora. La razón por la que tiene que probar varios escáneres diferentes es que los rootkits son muy difíciles de detectar.

Representación artística de Rootkit

Para mí, si sospecho que hay un rootkit instalado en una computadora cliente, inmediatamente hago una copia de seguridad de los datos y realizo una instalación limpia del sistema operativo. Obviamente, esto es más fácil decirlo que hacerlo y no es algo que recomiendo que todos hagan. Si no está seguro de tener un rootkit, es mejor usar las siguientes herramientas con la esperanza de descubrir el rootkit. Si no aparece nada usando varias herramientas, probablemente esté bien.

Si se encuentra un rootkit, depende de usted decidir si la eliminación fue exitosa o si debe comenzar desde cero. También vale la pena mencionar que dado que OS X se basa en UNIX , muchos de los escáneres usan la línea de comandos y requieren bastante conocimiento técnico. Dado que este blog está dirigido a principiantes, intentaré apegarme a las herramientas más fáciles que puede usar para detectar rootkits en su Mac .

Malwarebytes para Mac

El programa más fácil de usar que puede usar para eliminar cualquier rootkit de su Mac es Malwarebytes para Mac(Malwarebytes for Mac) . No es solo para rootkits, sino también para cualquier tipo de virus o malware de Mac .

ventana de Malwarebytes

Puede descargar la versión de prueba gratuita y utilizarla durante un máximo de 30 días. El costo es de $40 si desea comprar el programa y obtener protección en tiempo real. Es el programa más fácil de usar, pero probablemente tampoco encontrará un rootkit realmente difícil de detectar, por lo que si puede tomarse el tiempo para usar las herramientas de línea de comandos a continuación, obtendrá una mejor idea de si o No tienes un rootkit.

Cazador de rootkits

Rootkit Hunter es mi herramienta favorita para usar en Mac para encontrar rootkits. Es relativamente fácil de usar y la salida es muy fácil de entender. En primer lugar, vaya a la página de descarga(download page) y haga clic en el botón verde de descarga.

Ventana del cazador de rootkits

Continúe y haga doble clic en el archivo .tar.gz para descomprimirlo. Luego abra una ventana de Terminal y navegue a ese directorio usando el comando CD.

Navegue al directorio usando el comando CD

Una vez allí, debe ejecutar el script installer.sh. Para hacer esto, use el siguiente comando:

sudo ./installer.sh – install

Se le pedirá que ingrese su contraseña para ejecutar el script.

Ingrese la contraseña cuando se le solicite

Si todo salió bien, debería ver algunas líneas sobre el inicio de la instalación y la creación de directorios. Al final, debería decir Instalación completa( Installation Complete) .

Inicio de la instalación

Antes de ejecutar el detector de rootkits, debe actualizar el archivo de propiedades. Para hacer esto, debe escribir el siguiente comando:

sudo rkhunter – propupd

Introducir comando – propupd

Debería recibir un mensaje corto que indica que este proceso funcionó. Ahora finalmente puede ejecutar la verificación de rootkit real. Para hacer eso, use el siguiente comando:

sudo rkhunter – check

Introducir comando – comprobar

Lo primero que hará será comprobar los comandos del sistema. En su mayor parte, queremos OK verdes aquí y la menor cantidad posible de (OKs)Advertencias(Warnings) rojas . Una vez que esté completo, presionará Enter y comenzará a buscar rootkits.

Ventana de comprobación de rootkit con verde No encontrado

Aquí quiere asegurarse de que todos digan No encontrado(Not Found) . Si aparece algo rojo aquí, definitivamente tiene un rootkit instalado. Por último, realizará algunas comprobaciones en el sistema de archivos, el host local y la red. Al final, le dará un buen resumen de los resultados.

Resumen de comprobaciones del sistema

Si desea más detalles sobre las advertencias, escriba cd /var/log y luego escriba sudo cat rkhunter.log para ver el archivo de registro completo y las explicaciones de las advertencias. No tiene que preocuparse demasiado por los comandos o los mensajes de los archivos de inicio, ya que normalmente están bien. Lo principal es que no se encontró nada al buscar rootkits.

chkrootkit

chkrootkit es una herramienta gratuita que buscará localmente signos de un rootkit. Actualmente busca alrededor de 69 rootkits diferentes. Vaya al sitio, haga clic en Descargar(Download) en la parte superior y luego haga clic en chkrootkit último código fuente(chkrootkit latest Source tarball) para descargar el archivo tar.gz.

ventana de descarga de chrootkit

Vaya a la carpeta Descargas en su (Downloads)Mac y haga doble clic en el archivo. Esto lo descomprimirá(uncompress it) y creará una carpeta en Finder llamada chkrootkit-0.XX . Ahora abra una ventana de Terminal y navegue hasta el directorio sin comprimir.

directorio chrootkit

Básicamente, ingresa al directorio de descargas(Downloads) y luego a la carpeta chkrootkit. Una vez allí, escribes el comando para hacer el programa:

sudo make sense

No tiene que usar el comando sudo aquí, pero dado que requiere privilegios de root para ejecutarse, lo he incluido. Antes de que el comando funcione, es posible que reciba un mensaje que indique que las herramientas de desarrollo deben instalarse para poder usar el comando make .

Cuadro de diálogo Instalar herramientas de desarrollador

Continúe y haga clic en Instalar(Install) para descargar e instalar los comandos. Una vez completado, ejecute el comando nuevamente. Es posible que vea un montón de advertencias, etc., pero simplemente ignórelas. Por último, escribirá el siguiente comando para ejecutar el programa:

sudo ./chkrootkit

Debería ver un resultado como el que se muestra a continuación:

salida de chrootkit

Verá uno de los tres mensajes de salida: no infectado( not infected) , no probado(not tested) y no encontrado(not found) . No infectado significa que no encontró ninguna firma de rootkit, no encontrado significa que el comando a probar no está disponible y no probado significa que la prueba no se realizó por varias razones.

Con suerte(Hopefully) , todo saldrá sin estar infectado, pero si ve alguna infección, entonces su máquina se ha visto comprometida(machine has been compromised) . El desarrollador del programa escribe en el archivo README que básicamente deberías reinstalar el sistema operativo para deshacerte del rootkit, que es básicamente lo que también sugiero.

Detector de rootkits de ESET

ESET Rootkit Detector es otro programa gratuito mucho más fácil de usar, pero el principal inconveniente es que solo funciona en OS X 10.6 , 10.7 y 10.8. Teniendo en cuenta que OS X está casi en 10.13 en este momento, este programa no será útil para la mayoría de las personas.

Ventana de descarga de ESET Rootkit Detector

Desafortunadamente, no hay muchos programas que busquen rootkits en Mac . Hay muchos más para Windows y eso es comprensible ya que la base de usuarios de Windows es mucho más grande. Sin embargo, al usar las herramientas anteriores, es de esperar que tenga una idea decente de si un rootkit está instalado o no en su máquina. ¡Disfrutar!



Marta Parra

About the author

Soy un ingeniero de software de tiempo completo con más de 10 años de experiencia trabajando con software de Windows y Mac. Sé cómo diseñar, probar y desplegar aplicaciones en ambas plataformas. También tengo experiencia en seguridad y administración de sistemas. Mis habilidades y conocimientos pueden ayudarlo a construir un sistema informático mejor y más eficiente.


Related posts