Avast на macOS High Sierra стверджує, що схопив вірус "Cryptonight" лише для Windows


39

Вчора я запустив повне сканування системи за допомогою антивірусного програмного забезпечення Avast, і він знайшов файл зараження. Розташування файлу:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast класифікує файл зараження як:

JS:Cryptonight [Trj]

Отже, після видалення файлу я зробив ще кілька повних сканувань системи, щоб перевірити, чи немає ще файлів. Я нічого не знайшов, поки сьогодні не перезапустив свій macbook pro. Файл знову з’явився в тому самому місці. Тож я вирішив дозволити Avast помістити його у вірусну скриньку, перезапустив ноутбук і знову файл знову опинився в тому самому місці. Тому вірус відновлює файл при кожному перезапуску ноутбука.

Я хочу уникати витирання ноутбука та перевстановлення всього, тому я тут. Я дослідив шлях файлів і cryptonight і з'ясував, що cryptonight є / може бути шкідливим кодом, який може працювати на тлі чийогось комп’ютера, щоб видобути криптовалюту. Я контролював моє використання процесора, пам'яті та мережі, і не бачив жодного непарного процесу. Мій процесор працює нижче 30%, моя оперативна пам'ять, як правило, нижче 5 ГБ (встановлено 16 ГБ), і в моїй мережі не було жодних процесів, що надсилали / отримували велику кількість даних. Тож якщо щось видобувається у фоновому режимі, я взагалі не можу сказати. У мене немає поняття, що робити.

My Avast runs full system scans every week, so this just recently became an issue this week. I checked all of my chrome extensions and nothing is out of order, I haven't downloaded anything special within the past week, besides the new Mac operating system (macOS High Sierra 10.13.1). So I have no clue where this has came from to be honest and I have no clue how to get rid of it. Can someone please help me out.

Я підозрюю, що цей передбачуваний "вірус" надходить з оновлення Apple, і що це лише попередньо встановлений файл, який створюється і запускається кожного разу при завантаженні / перезавантаженні ОС. Але я не впевнений, оскільки у мене є лише один MacBook, і ніхто інший, що мені відомо, що мак оновив ОС до Високої Сьєрри. Але Avast продовжує маркувати це як потенційний вірус "Cryptonight", і ніхто більше в Інтернеті нічого не публікував з цього приводу. Тому загальний форум з видалення вірусів не допомагає в моїй ситуації, оскільки я вже намагався видалити його як Avast, так і зловмисні програми та вручну.


5
Це, швидше за все, хибний позитив.
JakeGould

1
До цього я приходжу до висновку, але хочу заспокоєння, таким воно є.
Самотня Twinky

5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64Здається, це чарівне число! Детальну інформацію див. У моїй відповіді .
JakeGould

2
@bcrist Сам алгоритм - це агностик платформи, але єдині шахтарі Mac, які я можу знайти, які використовують Cryptonight, - це не JavaScript; всі вони чітко бінарні системи системного рівня, такі як ця . Детальніше про реалізацію C тут і тут . Якби це була суто загроза JavaScript, тоді користувачі Linux також скаржилися б. Крім того, у Маків за замовчуванням є жахливі відеокарти, тому вони роблять жахливих шахтарів.
JakeGould

3
Я зв’язався з Avast про те, що файл є хибним позитивом, і надсилатиму оновлення щодо їхньої відповіді щоразу, коли вони звернуться до мене.
Самотня Twinky

Відповіді:


67

Досить впевнений, що в грі немає вірусу, зловмисного програмного забезпечення або трояну, і все це є абсолютно збігом неправдивих позитивних результатів.

Це, швидше за все, помилковий позитив, оскільки /var/db/uuidtext/пов'язаний з новою підсистемою "Уніфікований журнал", яка була представлена ​​в macOS Sierra (10.2). Як пояснюється в цій статті :

Перший шлях до файлу ( /var/db/diagnostics/) містить файли журналу. Ці файли названі назвою файлу часової позначки, що відповідає шаблону logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Ці файли - це бінарні файли, для розбору яких нам доведеться використовувати нову утиліту на macOS. Цей каталог містить деякі інші файли, а також додаткові файли журналу * .tracev3 та інші, які містять метадані журналу. Другий шлях до файлу ( /var/db/uuidtext/) містить файли, на які посилаються основні файли журналу * .tracev3.

Але у вашому випадку "магія", схоже, походить від хешу:

BC8EE8D09234D99DD8B85A99E46C64

Просто перегляньте цю посилання на відомі файли шкідливих програм Windows, на які посилається один конкретний хеш. Вітаємо! Ваш Mac магічно створив ім'я файлу, яке відповідає відомому вектору, який в основному бачили в системах Windows… Але ви на Mac, і це ім'я файлу - це просто хеш, який підключений до структури файлової системи бази даних «Unified Logging», і це цілком збігається, що вона відповідає цьому іменові файлу зловмисного програмного забезпечення і нічого не повинна означати.

І причина, по якій певний файл, здається, відновлюється, ґрунтується на цій деталі з наведеного вище пояснення:

Другий шлях до файлу ( /var/db/uuidtext/) містить файли, на які посилаються основні файли журналу * .tracev3.

Отже, ви видаляєте файл у /var/db/uuidtext/, але все це посилання на те, що є /var/db/diagnostics/. Тож коли ви перезавантажуєтесь, він бачить, що він відсутній, і відтворює його /var/db/uuidtext/.

А що робити зараз? Що ж, ви можете або терпіти сповіщення Avast, або ви можете завантажити інструмент для очищення кешу, такий як Onyx, і просто змусити відтворити журнали, по-справжньому очистивши їх зі своєї системи; не тільки один BC8EE8D09234D99DD8B85A99E46C64файл. Сподіваємось, хеш-назви файлів, які він відновлює після повного очищення, випадково знову не збігаються з відомим файлом шкідливих програм.


ОНОВЛЕННЯ 1 : Схоже, співробітники Avast визнають проблему в цій публікації на своїх форумах :

Я можу підтвердити, що це хибний позитив. Публікація superuser.com описує проблему досить добре - схоже, MacOS випадково створив файл, який містить фрагменти зловмисного шахтаря криптовалюти, який також може викликати одне з наших виявлень.

Тепер, що насправді дивно в цьому твердженні, є фраза: “ … MacOS, здається, випадково створив файл, який містить фрагменти зловмисного майстра криптовалюти. "

Що? Чи означає це, що хтось із основної команди з розробки програмного забезпечення macOS в Apple якось «випадково» налаштував систему, щоб вона генерувала нейтралізовані фрагменти відомого зловмисного майстра криптовалюти? Хтось безпосередньо з цим зв’язався з Apple? Це все здається трохи божевільним.


ОНОВЛЕННЯ 2 : Це питання далі пояснює хтось Радек Бріх на форумах Avast як просто Avast, що самоідентифікується:

Привіт, я просто додам трохи більше інформації.

Файл створений системою MacOS, він фактично є частиною діагностичного звіту "використання процесора". Звіт створений тому, що Avast активно використовує процесор під час сканування.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) ідентифікує бібліотеку, яка є частиною БД виявлення Avast (algo.so). Вміст файлу налагоджує інформацію, витягнуту з бібліотеки. На жаль, це, здається, містить рядок, який взамін виявлено Avast як зловмисне програмне забезпечення.

("Грубі" тексти - це, мабуть, лише назви шкідливих програм.)


4
Дякую за пояснення, ви справді є рятівником. Дуже добре пояснено теж.
Самотня Twinky

16
Ого. У відповідній записці вам слід вкласти гроші в лото! Такого роду "удача" не повинна бути "раз у житті", вона повинна бути "раз у всьому житті Всесвіту, від великого удару до теплової смерті".
Корт Аммон

14
Чекати, що? Який алгоритм хешу це? Якщо його навіть старий криптографічний, ми маємо еквівалент випадкового вирішення другої атаки попереднього зображення і заслуговує на набагато більше визнання.
Джошуа

3
@Joshua Можливо, інженер Apple є учасником зловмисного програмного забезпечення і нехай код коду геш-генерування ковзає в їх "денну роботу" код? Хіба це не буде ударом у голову!
JakeGould

6
@JohnDvorak Повний шлях є /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, тому ім'я файлу може бути лише останніми 120 бітами 128-бітного хешу (перші 8 - це 7B). Це не обов'язково означає, що це криптографічний хеш, але довжина відповідає MD5.
Меттью Крамлі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.