Вчера я запустил полное сканирование системы, используя антивирус Avast, и обнаружил зараженный файл. Расположение файла:
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
Avast классифицирует зараженный файл как:
JS:Cryptonight [Trj]
Итак, после удаления файла я сделал еще несколько полных сканирований системы, чтобы проверить, есть ли еще файлы. Я ничего не нашел, пока не перезапустил свой MacBook Pro сегодня. Файл снова появился в том же месте. Поэтому я решил позволить Avast положить его в сундук с вирусом, перезапустить ноутбук, и снова файл снова оказался в том же месте. Поэтому вирус заново создает файл при каждой перезагрузке ноутбука.
Я хочу не вытирать ноутбук и не переустанавливать все, поэтому я здесь. Я исследовал путь к файлу и криптовалюту и выяснил, что криптоконт является / может быть вредоносным кодом, который может запускаться на фоне чьего-либо компьютера для извлечения криптовалюты. Я следил за использованием своего ЦП, памяти и сети, и я не видел ни одного странного процесса. Мой ЦП работает ниже 30%, моя ОЗУ обычно меньше 5 ГБ (установлено 16 ГБ), и в моей сети не было процессов, отправляющих / получающих большое количество данных. Так что, если что-то добывается на заднем плане, я не могу сказать вообще. Я понятия не имею, что делать.
My Avast выполняет полное сканирование системы каждую неделю, так что это только что стало проблемой на этой неделе. Я проверил все свои расширения Chrome, и ничего не вышло из строя, за последнюю неделю я не скачал ничего особенного, кроме новой операционной системы Mac (macOS High Sierra 10.13.1). Так что я понятия не имею, откуда это взялось, чтобы быть честным, и я понятия не имею, как от этого избавиться. Может кто-нибудь, пожалуйста, помогите мне.
Я подозреваю, что этот предполагаемый «вирус» исходит из обновления Apple, и что это просто предустановленный файл, который создается и запускается каждый раз при загрузке / перезагрузке ОС. Но я не уверен, так как у меня есть только один MacBook, и никто другой, которого я знаю, у которого есть Mac, не обновил ОС до High Sierra. Но Avast продолжает помечать это как потенциальный вирус «Cryptonight», и никто больше онлайн не опубликовал ничего об этой проблеме. Таким образом, общий форум по удалению вирусов не помогает в моей ситуации, так как я уже пытался удалить его как с помощью Avast, так и с вредоносными байтами, и вручную.
BC8EE8D09234D99DD8B85A99E46C64
Кажется, волшебное число! Смотрите мой ответ для деталей .Ответы:
Уверен, что в игре нет вирусов, вредоносных программ или троянов, и все они являются ложным положительным результатом.
Скорее всего, это ложное срабатывание, поскольку
/var/db/uuidtext/
оно связано с новой подсистемой «Унифицированная регистрация», которая была представлена в macOS Sierra (10.2). Как объясняется в этой статье :Но в вашем случае «магия», похоже, исходит из хеша:
Просто проверьте эту ссылку на известные файлы вредоносных программ Windows, которые ссылаются на этот конкретный хеш. Поздравляем! Ваш Mac волшебным образом создал имя файла, которое соответствует известному вектору, который в основном был замечен в системах Windows ... Но вы находитесь на Mac, и это имя файла является просто хэшем, который связан с файловой структурой системы базы данных «Unified Logging», и это Совершенно случайно, что оно соответствует имени файла вредоносной программы и не должно ничего значить.
И причина того, что конкретный файл, кажется, восстанавливается, основана на этой детали из вышеприведенного объяснения:
Таким образом, вы удаляете файл в
/var/db/uuidtext/
, но все это является ссылкой на то, что в/var/db/diagnostics/
. Поэтому, когда вы перезагружаетесь, он видит, что он отсутствует, и создает его заново/var/db/uuidtext/
.Что делать сейчас? Ну, вы можете либо терпеть оповещения Avast, либо вы можете загрузить инструмент очистки кэша, такой как Onyx, и просто принудительно воссоздать журналы, действительно удалив их из вашей системы; не только этот один
BC8EE8D09234D99DD8B85A99E46C64
файл. Надеемся, что хэш-имена файлов, которые он восстанавливает после полной очистки, не будут случайно совпадать с известным файлом вредоносного ПО.ОБНОВЛЕНИЕ 1 : Кажется, что сотрудники Avast признают проблему в этом посте на своих форумах :
Что действительно странного в этом утверждении, так это фраза: « … похоже, что MacOS случайно создала файл, содержащий фрагменты вредоносного майнера криптовалюты. »
Какая? Означает ли это, что кто-то из основной команды разработчиков программного обеспечения macOS в Apple каким-то образом «случайно» настроил систему, чтобы она генерировала кастрированные фрагменты известного злоумышленника криптовалюты? Кто-нибудь связывался с Apple напрямую по этому поводу? Все это кажется немного сумасшедшим.
ОБНОВЛЕНИЕ 2 : Эта проблема далее объясняется кем-то на форумах Avast Радеком Бричем как просто идентифицирующая себя Avast:
источник
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
, что имя файла может быть только последними 120 битами 128-битного хэша (первые 87B
). Это не обязательно означает, что это криптографический хеш, но длина соответствует MD5.