Avast na macOS High Sierra twierdzi, że złapał wirusa „Cryptonight” tylko dla systemu Windows

Wczoraj przeprowadziłem pełne skanowanie systemu za pomocą mojego oprogramowania antywirusowego Avast i znalazłem plik infekcji. Lokalizacja pliku to:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast klasyfikuje plik infekcji jako:

JS:Cryptonight [Trj]

Po usunięciu pliku wykonałem jeszcze kilka pełnych skanowań systemu, aby sprawdzić, czy są jeszcze jakieś pliki. Nic nie znalazłem, dopóki nie uruchomiłem dziś ponownie mojego MacBooka Pro. Plik pojawił się ponownie w tej samej lokalizacji. Postanowiłem więc pozwolić Avastowi umieścić go w skrzynce z wirusami, ponownie uruchomić laptopa i ponownie plik znalazł się w tym samym miejscu. Dlatego wirus ponownie tworzy plik przy każdym ponownym uruchomieniu laptopa.

Chcę uniknąć wycierania laptopa i ponownej instalacji wszystkiego, dlatego tu jestem. Zbadałem ścieżkę do pliku i kryptowalutę i odkryłem, że kryptowaluta jest / może być złośliwym kodem, który może działać w tle czyjegoś komputera w celu wydobycia kryptowaluty. Monitoruję zużycie procesora, pamięci i sieci i nie widziałem żadnego dziwnego procesu. Mój procesor działa poniżej 30%, moja pamięć RAM ogólnie jest mniejsza niż 5 GB (zainstalowane 16 GB), a moja sieć nie miała żadnych procesów wysyłających / odbierających dużą ilość danych. Więc jeśli coś wydobywa się w tle, nie mogę w ogóle powiedzieć. Nie mam pojęcia, co robić.

Mój Avast uruchamia pełne skanowanie systemu co tydzień, więc to niedawno stało się problemem w tym tygodniu. Sprawdziłem wszystkie moje rozszerzenia chrome i nic nie jest zepsute, w ciągu ostatniego tygodnia nie pobrałem nic specjalnego poza nowym systemem operacyjnym Mac (macOS High Sierra 10.13.1). Tak więc nie mam pojęcia, skąd to się wzięło, i nie mam pojęcia, jak się go pozbyć. Czy ktoś mógłby mi pomóc.

Podejrzewam, że ten rzekomy „wirus” pochodzi z aktualizacji Apple i że jest to tylko wstępnie zainstalowany plik, który jest tworzony i uruchamiany przy każdym uruchomieniu / ponownym uruchomieniu systemu operacyjnego. Ale nie jestem pewien, ponieważ mam tylko jednego MacBooka i nikt inny, kogo znam, że ma komputer Mac, zaktualizował system operacyjny do High Sierra. Ale Avast wciąż określa to jako potencjalnego wirusa „Cryptonight” i nikt inny nie opublikował nic na ten temat. Dlatego wspólne forum usuwania wirusów nie jest pomocne w mojej sytuacji, ponieważ już próbowałem go usunąć za pomocą Avast, malwarebytes i ręcznie.

Jestem prawie pewien, że nie ma w nim wirusa, złośliwego oprogramowania ani trojana, a wszystkie z nich są wysoce przypadkowe, fałszywie pozytywne.

Najprawdopodobniej jest to wynik fałszywie dodatni, ponieważ /var/db/uuidtext/jest związany z nowym podsystemem „Unified Logging”, który został wprowadzony w macOS Sierra (10.2). Jak wyjaśnia ten artykuł :

Pierwsza ścieżka pliku ( /var/db/diagnostics/) zawiera pliki dziennika. Pliki te są nazywane nazwami znaczników czasu zgodnymi ze wzorcem logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Te pliki są plikami binarnymi, które będziemy musieli użyć nowego narzędzia w systemie macOS, aby je przeanalizować. Ten katalog zawiera również inne pliki, w tym dodatkowe pliki dziennika * .tracev3 i inne, które zawierają metadane rejestrowania. Druga ścieżka do pliku ( /var/db/uuidtext/) zawiera pliki, które są odwołaniami w głównych plikach dziennika * .tracev3.

Ale w twoim przypadku „magia” wydaje się pochodzić z hasza:

BC8EE8D09234D99DD8B85A99E46C64

Wystarczy sprawdzić to odniesienie dla znanych plików złośliwego oprogramowania dla systemu Windows, które odwołują się do tego konkretnego skrótu. Gratulacje! Twój komputer Mac stworzył w magiczny sposób nazwę pliku, która pasuje do znanego wektora, który był głównie widziany w systemach Windows… Ale jesteś na komputerze Mac, a ta nazwa pliku to tylko skrót, który jest połączony ze strukturą systemu bazy danych „Unified Logging” i jest to całkowicie przypadkowe, że pasuje do nazwy tego złośliwego pliku i nie powinno nic znaczyć.

Powód, dla którego określony plik wydaje się być regenerowany, opiera się na tym szczególe z powyższego wyjaśnienia:

Druga ścieżka do pliku ( /var/db/uuidtext/) zawiera pliki, które są odwołaniami w głównych plikach dziennika * .tracev3.

Więc usuwasz plik /var/db/uuidtext/, ale wszystko to jest odniesieniem do tego, co jest w środku /var/db/diagnostics/. Więc po ponownym uruchomieniu widzi, że go brakuje i odtwarza go ponownie /var/db/uuidtext/.

Co teraz zrobić? Cóż, możesz tolerować alerty Avast lub pobrać narzędzie do czyszczenia pamięci podręcznej, takie jak Onyx, i po prostu zmusić dzienniki do odtworzenia, usuwając je z systemu; nie tylko ten jeden BC8EE8D09234D99DD8B85A99E46C64plik. Mamy nadzieję, że nazwy skrótów plików, które regeneruje po pełnym czyszczeniu, nie będą przypadkowo pasowały do ​​znanego pliku złośliwego oprogramowania.

AKTUALIZACJA 1 : Wygląda na to, że pracownicy Avast potwierdzają problem w tym poście na swoich forach :

Mogę potwierdzić, że jest to wynik fałszywie dodatni. Post na stronie superuser.com dość dobrze opisuje problem - MacOS prawdopodobnie przypadkowo utworzył plik zawierający fragmenty złośliwego eksploratora kryptowalut, które również powodują jedno z naszych wykrytych zdarzeń.

To, co jest naprawdę dziwne w tym stwierdzeniu, to zdanie: „ … Wygląda na to, że MacOS przypadkowo utworzył plik zawierający fragmenty złośliwego eksploratora kryptowalut. ”

Co? Czy to sugeruje, że ktoś z głównego zespołu programistycznego MacOS w Apple w jakiś sposób „przypadkowo” skonfigurował system, aby generował wycięte fragmenty znanego złośliwego górnika kryptowaluty? Czy ktoś skontaktował się bezpośrednio z Apple w tej sprawie? To wszystko wydaje się trochę szalone.

AKTUALIZACJA 2 : Kwestię tę tłumaczy Radek Brich na forach Avast jako po prostu samoidentyfikacja Avast:

Witam, dodam trochę więcej informacji.

Plik jest tworzony przez system MacOS, w rzeczywistości jest częścią raportu diagnostycznego „użycie procesora”. Raport został utworzony, ponieważ Avast intensywnie wykorzystuje procesor podczas skanowania.

Identyfikator UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identyfikuje bibliotekę, która jest częścią bazy danych Avast Detection DB (algo.so). Zawartość pliku to informacje debugujące wyodrębnione z biblioteki. Niestety wydaje się, że zawiera ciąg, który w zamian wykrywa Avast jako szkodliwe oprogramowanie.

(„Niegrzeczne” teksty to prawdopodobnie tylko nazwy złośliwego oprogramowania).