Avast на macOS High Sierra утверждает, что он заразился вирусом Cryptonight только для Windows

Question

Вчера я запустил полное сканирование системы, используя антивирус Avast, и обнаружил зараженный файл. Расположение файла:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast классифицирует зараженный файл как:

JS:Cryptonight [Trj]

Итак, после удаления файла я сделал еще несколько полных сканирований системы, чтобы проверить, есть ли еще файлы. Я ничего не нашел, пока сегодня не перезапустил свой MacBook Pro. Файл снова появился в том же месте. Поэтому я решил позволить Avast положить его в сундук с вирусом, перезапустить ноутбук, и снова файл снова оказался в том же месте. Поэтому вирус заново создает файл при каждой перезагрузке ноутбука.

Я хочу не вытирать ноутбук и не переустанавливать все, поэтому я здесь. Я исследовал путь к файлу и криптовалюту и выяснил, что криптоконт является / может быть вредоносным кодом, который может запускаться на фоне чьего-либо компьютера для извлечения криптовалюты. Я следил за использованием своего ЦП, памяти и сети, и я не видел ни одного странного процесса. Мой ЦП работает ниже 30%, моя ОЗУ обычно меньше 5 ГБ (установлено 16 ГБ), и в моей сети не было процессов, отправляющих / получающих большое количество данных. Так что, если что-то добывается на заднем плане, я не могу сказать вообще. Я понятия не имею, что делать.

My Avast выполняет полное сканирование системы каждую неделю, так что это только что стало проблемой на этой неделе. Я проверил все свои расширения Chrome, и ничего не вышло из строя, я не загрузил ничего особенного за последнюю неделю, кроме новой операционной системы Mac (macOS High Sierra 10.13.1). Так что я понятия не имею, откуда это взялось, если честно, и понятия не имею, как от этого избавиться. Может кто-нибудь, пожалуйста, помогите мне.

Я подозреваю, что этот предполагаемый «вирус» исходит из обновления Apple, и что это просто предустановленный файл, который создается и запускается каждый раз при загрузке / перезагрузке ОС. Но я не уверен, так как у меня есть только один MacBook, и никто другой, которого я знаю, у которого есть Mac, не обновил ОС до High Sierra. Но Avast продолжает маркировать это как потенциальный вирус «Cryptonight», и никто больше онлайн не опубликовал ничего об этой проблеме. Таким образом, общий форум по удалению вирусов в моей ситуации не помогает, поскольку я уже пытался удалить его как с помощью Avast, так и с помощью вредоносных байт, и вручную.

Answer 1

Уверен, что в игре нет вирусов, вредоносных программ или троянов, и все они являются ложным положительным результатом.

Скорее всего, это ложноположительный результат, поскольку /var/db/uuidtext/ связан с новой подсистемой «Унифицированная регистрация», которая была представлена в macOS Sierra (10.2). Как объясняется в этой статье:

Первый путь к файлу (/var/db/diagnostics/) содержит файлы журнала. Этим файлам присваивается имя с меткой времени после логданных шаблона logdata.Persistent.YYYYMMDDTHHMMSS.tracev3 . Эти файлы являются двоичными файлами, которые мы должны использовать для анализа в новой утилите в macOS. Этот каталог также содержит некоторые другие файлы, включая дополнительные файлы log * .tracev3 и другие, которые содержат метаданные журнала. Второй путь к файлу (/var/db/uuidtext/) содержит файлы, которые являются ссылками в основных файлах журнала * .tracev3.

Но в вашем случае «магия», похоже, исходит из хеша:

BC8EE8D09234D99DD8B85A99E46C64

Просто проверьте эту ссылку на известные файлы вредоносных программ Windows, которые ссылаются на этот конкретный хеш. Поздравляем! Ваш Mac волшебным образом создал имя файла, которое соответствует известному вектору, который в основном был замечен в системах Windows ... Но вы находитесь на Mac, и это имя файла является просто хэшем, который связан с файловой структурой системы базы данных «Унифицированная регистрация», и это Совершенно случайно, что оно соответствует имени файла вредоносной программы и не должно ничего значить.

И причина того, что конкретный файл, кажется, восстанавливается, основана на этой детали из вышеприведенного объяснения:

Второй путь к файлу (/var/db/uuidtext/) содержит файлы, которые являются ссылками в основных файлах журнала * .tracev3.

Таким образом, вы удаляете файл в /var/db/uuidtext/ , но это всего лишь ссылка на то, что находится в /var/db/diagnostics/ . Поэтому, когда вы перезагружаетесь, он видит, что он отсутствует, и воссоздает его в /var/db/uuidtext/ .

Что делать сейчас? Что ж, вы можете либо терпеть оповещения Avast, либо вы можете загрузить инструмент очистки кэша, такой как Onyx, и просто принудительно воссоздать журналы, действительно удалив их из вашей системы; не только один файл BC8EE8D09234D99DD8B85A99E46C64 . Надеемся, что имена хэшей файлов, которые он восстанавливает после полной очистки, не будут случайно совпадать с известным файлом вредоносного ПО.

---

ОБНОВЛЕНИЕ 1: Кажется, что сотрудники Avast признают проблему в этом посте на своих форумах:

Я могу подтвердить, что это ложный положительный результат. В сообщении на superuser.com эта проблема описана достаточно хорошо: похоже, MacOS случайно создала файл, содержащий фрагменты вредоносного майнера криптовалюты, которые также вызывают одно из наших обнаружений.

Теперь, что действительно странно в этом утверждении, это фраза: « … MacOS, похоже, случайно создал файл, содержащий фрагменты вредоносного майнера криптовалюты. »

Какие? Означает ли это, что кто-то из основной команды разработчиков программного обеспечения macOS в Apple каким-то образом «случайно» настроил систему, чтобы она генерировала стерилизованные фрагменты известного вредоносного майнера криптовалюты? Кто-нибудь связывался с Apple напрямую по этому поводу? Все это кажется немного сумасшедшим.

---

ОБНОВЛЕНИЕ 2: Эта проблема далее объясняется кем-то на форумах Avast Радеком Бричем как просто идентифицирующая себя Avast:

Здравствуйте, я просто добавлю немного больше информации.

Файл создается системой MacOS, на самом деле он является частью диагностического отчета об использовании процессора. Отчет создается потому, что Avast активно использует процессор во время сканирования.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) идентифицирует библиотеку, которая является частью базы данных обнаружения Avast (algo.so). Содержимое файла является отладочной информацией, извлеченной из библиотеки. К сожалению, это, кажется, содержит строку, которая в свою очередь обнаруживается Avast как вредоносная программа.

("Грубые" тексты, вероятно, просто названия вредоносных программ.)