Avast на macOS High Sierra утверждает, что она заразилась вирусом «Cryptonight» только для Windows

39

Вчера я запустил полное сканирование системы, используя антивирус Avast, и обнаружил зараженный файл. Расположение файла:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast классифицирует зараженный файл как:

JS:Cryptonight [Trj]

Итак, после удаления файла я сделал еще несколько полных сканирований системы, чтобы проверить, есть ли еще файлы. Я ничего не нашел, пока не перезапустил свой MacBook Pro сегодня. Файл снова появился в том же месте. Поэтому я решил позволить Avast положить его в сундук с вирусом, перезапустить ноутбук, и снова файл снова оказался в том же месте. Поэтому вирус заново создает файл при каждой перезагрузке ноутбука.

Я хочу не вытирать ноутбук и не переустанавливать все, поэтому я здесь. Я исследовал путь к файлу и криптовалюту и выяснил, что криптоконт является / может быть вредоносным кодом, который может запускаться на фоне чьего-либо компьютера для извлечения криптовалюты. Я следил за использованием своего ЦП, памяти и сети, и я не видел ни одного странного процесса. Мой ЦП работает ниже 30%, моя ОЗУ обычно меньше 5 ГБ (установлено 16 ГБ), и в моей сети не было процессов, отправляющих / получающих большое количество данных. Так что, если что-то добывается на заднем плане, я не могу сказать вообще. Я понятия не имею, что делать.

My Avast выполняет полное сканирование системы каждую неделю, так что это только что стало проблемой на этой неделе. Я проверил все свои расширения Chrome, и ничего не вышло из строя, за последнюю неделю я не скачал ничего особенного, кроме новой операционной системы Mac (macOS High Sierra 10.13.1). Так что я понятия не имею, откуда это взялось, чтобы быть честным, и я понятия не имею, как от этого избавиться. Может кто-нибудь, пожалуйста, помогите мне.

Я подозреваю, что этот предполагаемый «вирус» исходит из обновления Apple, и что это просто предустановленный файл, который создается и запускается каждый раз при загрузке / перезагрузке ОС. Но я не уверен, так как у меня есть только один MacBook, и никто другой, которого я знаю, у которого есть Mac, не обновил ОС до High Sierra. Но Avast продолжает помечать это как потенциальный вирус «Cryptonight», и никто больше онлайн не опубликовал ничего об этой проблеме. Таким образом, общий форум по удалению вирусов не помогает в моей ситуации, так как я уже пытался удалить его как с помощью Avast, так и с вредоносными байтами, и вручную.

Одинокий Twinky
источник
5
Скорее всего, это ложный положительный результат.
JakeGould
1
Это то, к чему я прихожу к выводу, но я хочу, чтобы это было так.
Одинокий
5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64Кажется, волшебное число! Смотрите мой ответ для деталей .
JakeGould
2
@bcrist Один алгоритм не зависит от платформы, но единственные майнеры Mac, которые я могу найти, которые используют Cryptonight, не являются JavaScript; все они явно являются двоичными файлами системного уровня, такими как этот . Подробнее о реализации C здесь и здесь . Если бы это была просто угроза JavaScript, то пользователи Linux тоже жаловались бы. Кроме того, на компьютерах Mac по умолчанию установлены ужасные видеокарты, поэтому они делают ужасных майнеров.
JakeGould
3
Я связался с Avast по поводу того, что файл является ложным срабатыванием, я буду публиковать обновленную информацию об их ответе всякий раз, когда они обратятся ко мне.
Одинокий

Ответы:

67

Уверен, что в игре нет вирусов, вредоносных программ или троянов, и все они являются ложным положительным результатом.

Скорее всего, это ложное срабатывание, поскольку /var/db/uuidtext/оно связано с новой подсистемой «Унифицированная регистрация», которая была представлена ​​в macOS Sierra (10.2). Как объясняется в этой статье :

Первый путь к файлу ( /var/db/diagnostics/) содержит файлы журнала. Этим файлам присваивается имя с меткой времени, следующей за шаблоном logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Эти файлы представляют собой двоичные файлы, которые мы должны использовать для анализа в MacOS. Этот каталог также содержит некоторые другие файлы, включая дополнительные файлы log * .tracev3 и другие, которые содержат метаданные журнала. Второй путь к файлу ( /var/db/uuidtext/) содержит файлы, которые являются ссылками в основных файлах журнала * .tracev3.

Но в вашем случае «магия», похоже, исходит из хеша:

BC8EE8D09234D99DD8B85A99E46C64

Просто проверьте эту ссылку на известные файлы вредоносных программ Windows, которые ссылаются на этот конкретный хеш. Поздравляем! Ваш Mac волшебным образом создал имя файла, которое соответствует известному вектору, который в основном был замечен в системах Windows ... Но вы находитесь на Mac, и это имя файла является просто хэшем, который связан с файловой структурой системы базы данных «Unified Logging», и это Совершенно случайно, что оно соответствует имени файла вредоносной программы и не должно ничего значить.

И причина того, что конкретный файл, кажется, восстанавливается, основана на этой детали из вышеприведенного объяснения:

Второй путь к файлу ( /var/db/uuidtext/) содержит файлы, которые являются ссылками в основных файлах журнала * .tracev3.

Таким образом, вы удаляете файл в /var/db/uuidtext/, но все это является ссылкой на то, что в /var/db/diagnostics/. Поэтому, когда вы перезагружаетесь, он видит, что он отсутствует, и создает его заново /var/db/uuidtext/.

Что делать сейчас? Ну, вы можете либо терпеть оповещения Avast, либо вы можете загрузить инструмент очистки кэша, такой как Onyx, и просто принудительно воссоздать журналы, действительно удалив их из вашей системы; не только этот один BC8EE8D09234D99DD8B85A99E46C64файл. Надеемся, что хэш-имена файлов, которые он восстанавливает после полной очистки, не будут случайно совпадать с известным файлом вредоносного ПО.


ОБНОВЛЕНИЕ 1 : Кажется, что сотрудники Avast признают проблему в этом посте на своих форумах :

Я могу подтвердить, что это ложный положительный результат. В сообщении на superuser.com эта проблема описана достаточно хорошо - похоже, что MacOS случайно создал файл, содержащий фрагменты вредоносного майнера криптовалюты, которые также вызывают одно из наших обнаружений.

Что действительно странного в этом утверждении, так это фраза: « … похоже, что MacOS случайно создала файл, содержащий фрагменты вредоносного майнера криптовалюты. »

Какая? Означает ли это, что кто-то из основной команды разработчиков программного обеспечения macOS в Apple каким-то образом «случайно» настроил систему, чтобы она генерировала кастрированные фрагменты известного злоумышленника криптовалюты? Кто-нибудь связывался с Apple напрямую по этому поводу? Все это кажется немного сумасшедшим.


ОБНОВЛЕНИЕ 2 : Эта проблема далее объясняется кем-то на форумах Avast Радеком Бричем как просто идентифицирующая себя Avast:

Здравствуйте, я просто добавлю немного больше информации.

Файл создается системой MacOS, на самом деле он является частью диагностического отчета об использовании процессора. Отчет создается потому, что Avast активно использует процессор во время сканирования.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) идентифицирует библиотеку, которая является частью базы данных обнаружения Avast (algo.so). Содержимое файла является отладочной информацией, извлеченной из библиотеки. К сожалению, это, кажется, содержит строку, которая в свою очередь обнаруживается Avast как вредоносная программа.

(«Грубые» тексты, вероятно, просто названия вредоносных программ.)

JakeGould
источник
4
Спасибо за объяснение, вы действительно спаситель. Очень хорошо объяснил тоже.
Одинокий
16
Вау. С другой стороны, вы должны инвестировать в лотерейный билет! Такого рода «удача» не должна быть «один раз в жизни», а «один раз за всю жизнь вселенной, от большого взрыва до высокой температуры».
Корт Аммон
14
Чего ждать? Что это за алгоритм хеширования? Если это даже старая криптографическая криптография, мы имеем эквивалент случайного решения второй атаки перед изображением и заслуживают гораздо большего признания.
Джошуа
3
@Joshua Может быть, инженер Apple внес свой вклад в вредоносное ПО и позволил некоторому коду генерации хэша проникнуть в их код «повседневной работы»? Разве это не удар в голову!
JakeGould
6
@JohnDvorak Полный путь таков /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, что имя файла может быть только последними 120 битами 128-битного хэша (первые 8 7B). Это не обязательно означает, что это криптографический хеш, но длина соответствует MD5.
Мэтью Крамли