Как вручную проверить Mac на вирусы и вредоносное ПО

macOS считается относительно безопасной системой, но это не значит, что Mac неуязвим. В 2024-2025 годах выросла активность Mac-specific угроз: infostealers типа Atomic (AMOS), Banshee, Poseidon крадут пароли из Keychain и браузеров; криптомайнеры грузят CPU; adware прописывается в Launch Agents и переживает перезагрузки. Если Mac стал тормозить, вентиляторы крутятся без причины, или Safari открывает странные страницы - пора проверить систему.

В этой статье - пошаговая ручная проверка без установки антивируса. Все инструменты либо встроены в macOS, либо бесплатны и с открытым кодом.

Что предлагает Apple из коробки

В macOS три встроенных слоя защиты:

1. Gatekeeper - проверяет подпись приложений при первом запуске. Блокирует не нотаризованные.
2. XProtect - сигнатурный антивирус, обновляется автоматически через фоновые апдейты. Ловит известные семейства malware.
3. MRT (Malware Removal Tool) - удаляет обнаруженные угрозы. Заменён в Ventura+ на XProtect Remediator.

Проверить что XProtect активен и актуален:

system_profiler SPInstallHistoryDataType | grep -A 2 -i xprotect

Последняя дата должна быть свежей (дни, не месяцы). Если давно не обновлялся - проверь System Settings → General → Software Update.

Посмотреть версию XProtect:

defaults read /Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Info.plist CFBundleShortVersionString

Проблема в том, что XProtect реагирует только на известные угрозы. Новые или целевые атаки он пропускает. Поэтому полезно уметь проверять систему руками.

Пошагово: как проверить Mac на вирусы

Шаг 1. Смотрим что запущено сейчас

Открой Activity Monitor (Cmd+Space → Activity Monitor). Переключись на вкладку CPU и отсортируй по колонке % CPU.

На что обратить внимание:

• Процессы которые стабильно грузят CPU 20-100% без видимой причины
• Странные имена: XProxy, MacUpdater, Mshelper, случайные 6-8 букв
• Процессы от пользователя root которые ты не знаешь
• Бинарники в /tmp, /private/tmp, /Users/Shared

В Activity Monitor открой процесс двойным кликом → вкладка Open Files and Ports → покажет откуда бинарник. Путь вида /tmp/Updater или /Users/Shared/.hidden - красный флаг.

Через терминал то же самое:

ps aux | sort -rk 3,3 | head -20

Покажет топ-20 процессов по CPU.

Шаг 2. Проверяем Login Items

System Settings → General → Login Items & Extensions. Тут две секции:

• Open at Login - программы, запускающиеся при входе
• Allow in the Background - фоновые службы

Всё что ты не узнаёшь - выключи тумблер. Легитимные приложения перепросят разрешение. Malware обычно прячется под именами вроде HelperTool, Updater, System Service.

Шаг 3. Проверяем Launch Agents и Daemons

Это главное место, где malware закрепляется на Mac. Файлы .plist в этих папках - инструкции системе автоматически запускать процессы.

Проверяем вручную:

ls -la ~/Library/LaunchAgents/
ls -la /Library/LaunchAgents/
ls -la /Library/LaunchDaemons/

Открывай каждый незнакомый .plist:

cat ~/Library/LaunchAgents/com.example.plist

Ищи:

• Имена с случайными символами: com.a8d7sf.agent.plist
• Пути к бинарникам в /tmp, /Users/Shared, ~/Library/Application Support/<случайное имя>
• RunAtLoad = true + подозрительная программа

Системные Apple-агенты всегда в /System/Library/LaunchAgents/ и /System/Library/LaunchDaemons/ - их не трогай. Сторонние легитимные (Google, Microsoft, Adobe) имеют понятные имена типа com.google.keystone.agent.plist.

Шаг 4. Проверяем сетевую активность

Майнер и стиллер обязательно стучат наружу. Посмотреть активные соединения:

lsof -i -n -P | grep ESTABLISHED

Или на конкретный процесс:

lsof -i -n -P -p <PID>

Альтернатива через netstat:

netstat -an | grep ESTABLISHED

Подозрительно: соединения с IP в ЮВА/Восточной Европе, домены на .top, .xyz, высокие нестандартные порты (кроме 443, 80, 53).

Проверить что конкретный IP за собой скрывает:

whois <ip>
host <ip>

Шаг 5. Проверяем расширения Safari и браузеров

Safari → Settings → Extensions. Всё что ты не помнишь как ставил - удаляй.

Chrome: chrome://extensions/. Обращай внимание на расширения с правом "Read and change all data on websites".

Шаг 6. Проверяем профили конфигурации

Malware иногда ставит профиль, который перехватывает DNS или прокси:

System Settings → General → Device Management (или Privacy & Security → Profiles).

Если видишь профиль который не ставил сам или не ставил работодатель - удаляй.

Шаг 7. Проверяем DNS и hosts

cat /etc/hosts

Если туда добавлены перенаправления с популярных сайтов (google.com, apple.com, bank-сайты) - это атака. Стандартный hosts содержит только 127.0.0.1 localhost и несколько IPv6 строк.

Проверить текущий DNS:

scutil --dns | grep 'nameserver\[[0-9]*\]'

Должны быть либо IP роутера, либо провайдера, либо известные DNS (1.1.1.1, 8.8.8.8).

Советы экспертов

Включи FileVault. System Settings → Privacy & Security → FileVault. Шифрование диска не остановит malware, но защитит данные если Mac украдут.

Включи Firewall. System Settings → Network → Firewall. Поможет увидеть неавторизованные входящие соединения.

Отключи автологин. System Settings → Users & Groups → Automatic login → Off. Пароль при входе - базовая гигиена.

Ставь только Apple Silicon-нативные приложения из известных источников. Mac App Store, dev-сайты, Homebrew. Пиратский софт - самый частый канал заражения.

Проверяй подпись приложений:

codesign -dv --verbose=4 /Applications/SomeApp.app

Если Signature=adhoc или ошибка - это не подписанное Apple приложение, будь осторожен.

Хэши файлов. Если подозреваешь конкретный файл, получи SHA256:

shasum -a 256 /path/to/suspicious/file

Затем проверь через VirusTotal.com (загружать сам файл не обязательно - хэш достаточен).

Инструменты (бесплатные)

Все из Objective-See (Patrick Wardle) - известный Mac security researcher, инструменты бесплатные и open source:

• KnockKnock - показывает всё что автозапускается на Mac: Launch Agents, Daemons, браузерные расширения, cron, login items в одном окне. Первый инструмент при подозрении.
• BlockBlock - резидентно мониторит попытки закрепиться в автозапуске. Как только malware пытается создать LaunchAgent - покажет нотификацию.
• TaskExplorer - продвинутый Activity Monitor. Показывает подпись процессов, открытые файлы, сетевые соединения, загруженные dylibs.
• RansomWhere - ловит шифровальщики по поведению (массовая запись файлов с высокой энтропией).
• Netiquette - визуализатор сетевых соединений. Кто с кем и куда стучит.

Если нужно полное сканирование, Malwarebytes для Mac - бесплатная версия делает on-demand сканирование. Платная - real-time protection. Один из немногих антивирусов с хорошей репутацией в Mac-сообществе.

Для регулярной очистки системы - OnyX (очистка кэшей, логов, verify структуры диска).

Проверка - как убедиться, что всё работает

После очистки:

1. Перезагрузи Mac. Часть malware прячется только в памяти - после ребута уходит.
2. Повтори шаги 1-7. Процессы в Activity Monitor, LaunchAgents, сетевые соединения - всё должно быть чисто.
3. Запусти KnockKnock ещё раз. Если программа помечает всё зелёным (подписано Apple/известными разработчиками) - ты чист.
4. Смени пароли критичных аккаунтов. Email, банки, соцсети. Если стоял infostealer - пароли могли утечь. Новые пароли генерируй в Bitwarden или KeePassXC.
5. Включи 2FA везде где можно. Даже если пароль утечёт снова, без второго фактора злоумышленник не войдёт.

Если ничего не помогает

Есть случаи когда чистку вручную делать бесполезно - проще переустановить macOS. Признаки:

• Malware возвращается после удаления
• Есть подозрение на руткит (ультра-редко на Mac, но возможно)
• Mac продан/куплен с рук с неизвестной историей

Чистая установка: загрузись в Recovery (⌘R на Intel, зажми Power на Apple Silicon) → Disk Utility → Erase (APFS) → Reinstall macOS. Данные восстанавливай из Time Machine, но не системные файлы, только пользовательские документы/фото.

Итог

Mac не защищён от вирусов магически - защищён инженерией Apple плюс привычками пользователя. Шаги проверки несложные:

1. Activity Monitor → странные процессы
2. Login Items → незнакомые программы
3. Launch Agents/Daemons → подозрительные .plist
4. Сетевые соединения → куда стучат приложения
5. Расширения браузера → убрать лишнее
6. Профили конфигурации → удалить незнакомые
7. hosts + DNS → убедиться что не подменены

С инструментами от Objective-See (KnockKnock, BlockBlock, RansomWhere) проверка занимает 10-15 минут. Делай её раз в месяц или если заметил странное поведение системы - батарея разряжается быстрее обычного, вентиляторы шумят без нагрузки, браузер ведёт себя непредсказуемо.