Avast на macOS High Sierra стверджує, що схопив вірус "Cryptonight" лише для Windows

Вчора я запустив повне сканування системи за допомогою антивірусного програмного забезпечення Avast, і він знайшов файл зараження. Розташування файлу:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast класифікує файл зараження як:

JS:Cryptonight [Trj]

Отже, після видалення файлу я зробив ще кілька повних сканувань системи, щоб перевірити, чи немає ще файлів. Я нічого не знайшов, поки сьогодні не перезапустив свій macbook pro. Файл знову з’явився в тому самому місці. Тож я вирішив дозволити Avast помістити його у вірусну скриньку, перезапустив ноутбук і знову файл знову опинився в тому самому місці. Тому вірус відновлює файл при кожному перезапуску ноутбука.

Я хочу уникати витирання ноутбука та перевстановлення всього, тому я тут. Я дослідив шлях файлів і cryptonight і з'ясував, що cryptonight є / може бути шкідливим кодом, який може працювати на тлі чийогось комп’ютера, щоб видобути криптовалюту. Я контролював моє використання процесора, пам'яті та мережі, і не бачив жодного непарного процесу. Мій процесор працює нижче 30%, моя оперативна пам'ять, як правило, нижче 5 ГБ (встановлено 16 ГБ), і в моїй мережі не було жодних процесів, що надсилали / отримували велику кількість даних. Тож якщо щось видобувається у фоновому режимі, я взагалі не можу сказати. У мене немає поняття, що робити.

My Avast runs full system scans every week, so this just recently became an issue this week. I checked all of my chrome extensions and nothing is out of order, I haven't downloaded anything special within the past week, besides the new Mac operating system (macOS High Sierra 10.13.1). So I have no clue where this has came from to be honest and I have no clue how to get rid of it. Can someone please help me out.

Я підозрюю, що цей передбачуваний "вірус" надходить з оновлення Apple, і що це лише попередньо встановлений файл, який створюється і запускається кожного разу при завантаженні / перезавантаженні ОС. Але я не впевнений, оскільки у мене є лише один MacBook, і ніхто інший, що мені відомо, що мак оновив ОС до Високої Сьєрри. Але Avast продовжує маркувати це як потенційний вірус "Cryptonight", і ніхто більше в Інтернеті нічого не публікував з цього приводу. Тому загальний форум з видалення вірусів не допомагає в моїй ситуації, оскільки я вже намагався видалити його як Avast, так і зловмисні програми та вручну.

Досить впевнений, що в грі немає вірусу, зловмисного програмного забезпечення або трояну, і все це є абсолютно збігом неправдивих позитивних результатів.

Це, швидше за все, помилковий позитив, оскільки /var/db/uuidtext/пов'язаний з новою підсистемою "Уніфікований журнал", яка була представлена ​​в macOS Sierra (10.2). Як пояснюється в цій статті :

Перший шлях до файлу ( /var/db/diagnostics/) містить файли журналу. Ці файли названі назвою файлу часової позначки, що відповідає шаблону logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Ці файли - це бінарні файли, для розбору яких нам доведеться використовувати нову утиліту на macOS. Цей каталог містить деякі інші файли, а також додаткові файли журналу * .tracev3 та інші, які містять метадані журналу. Другий шлях до файлу ( /var/db/uuidtext/) містить файли, на які посилаються основні файли журналу * .tracev3.

Але у вашому випадку "магія", схоже, походить від хешу:

BC8EE8D09234D99DD8B85A99E46C64

Просто перегляньте цю посилання на відомі файли шкідливих програм Windows, на які посилається один конкретний хеш. Вітаємо! Ваш Mac магічно створив ім'я файлу, яке відповідає відомому вектору, який в основному бачили в системах Windows… Але ви на Mac, і це ім'я файлу - це просто хеш, який підключений до структури файлової системи бази даних «Unified Logging», і це цілком збігається, що вона відповідає цьому іменові файлу зловмисного програмного забезпечення і нічого не повинна означати.

І причина, по якій певний файл, здається, відновлюється, ґрунтується на цій деталі з наведеного вище пояснення:

Другий шлях до файлу ( /var/db/uuidtext/) містить файли, на які посилаються основні файли журналу * .tracev3.

Отже, ви видаляєте файл у /var/db/uuidtext/, але все це посилання на те, що є /var/db/diagnostics/. Тож коли ви перезавантажуєтесь, він бачить, що він відсутній, і відтворює його /var/db/uuidtext/.

А що робити зараз? Що ж, ви можете або терпіти сповіщення Avast, або ви можете завантажити інструмент для очищення кешу, такий як Onyx, і просто змусити відтворити журнали, по-справжньому очистивши їх зі своєї системи; не тільки один BC8EE8D09234D99DD8B85A99E46C64файл. Сподіваємось, хеш-назви файлів, які він відновлює після повного очищення, випадково знову не збігаються з відомим файлом шкідливих програм.

ОНОВЛЕННЯ 1 : Схоже, співробітники Avast визнають проблему в цій публікації на своїх форумах :

Я можу підтвердити, що це хибний позитив. Публікація superuser.com описує проблему досить добре - схоже, MacOS випадково створив файл, який містить фрагменти зловмисного шахтаря криптовалюти, який також може викликати одне з наших виявлень.

Тепер, що насправді дивно в цьому твердженні, є фраза: “ … MacOS, здається, випадково створив файл, який містить фрагменти зловмисного майстра криптовалюти. "

Що? Чи означає це, що хтось із основної команди з розробки програмного забезпечення macOS в Apple якось «випадково» налаштував систему, щоб вона генерувала нейтралізовані фрагменти відомого зловмисного майстра криптовалюти? Хтось безпосередньо з цим зв’язався з Apple? Це все здається трохи божевільним.

ОНОВЛЕННЯ 2 : Це питання далі пояснює хтось Радек Бріх на форумах Avast як просто Avast, що самоідентифікується:

Привіт, я просто додам трохи більше інформації.

Файл створений системою MacOS, він фактично є частиною діагностичного звіту "використання процесора". Звіт створений тому, що Avast активно використовує процесор під час сканування.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) ідентифікує бібліотеку, яка є частиною БД виявлення Avast (algo.so). Вміст файлу налагоджує інформацію, витягнуту з бібліотеки. На жаль, це, здається, містить рядок, який взамін виявлено Avast як зловмисне програмне забезпечення.

("Грубі" тексти - це, мабуть, лише назви шкідливих програм.)