Avast на macOS High Sierra утверждает, что он заразился вирусом Cryptonight только для Windows

12673
Lonely Twinky

Вчера я запустил полное сканирование системы, используя антивирус Avast, и обнаружил зараженный файл. Расположение файла:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast классифицирует зараженный файл как:

JS:Cryptonight [Trj]

Итак, после удаления файла я сделал еще несколько полных сканирований системы, чтобы проверить, есть ли еще файлы. Я ничего не нашел, пока сегодня не перезапустил свой MacBook Pro. Файл снова появился в том же месте. Поэтому я решил позволить Avast положить его в сундук с вирусом, перезапустить ноутбук, и снова файл снова оказался в том же месте. Поэтому вирус заново создает файл при каждой перезагрузке ноутбука.

Я хочу не вытирать ноутбук и не переустанавливать все, поэтому я здесь. Я исследовал путь к файлу и криптовалюту и выяснил, что криптоконт является / может быть вредоносным кодом, который может запускаться на фоне чьего-либо компьютера для извлечения криптовалюты. Я следил за использованием своего ЦП, памяти и сети, и я не видел ни одного странного процесса. Мой ЦП работает ниже 30%, моя ОЗУ обычно меньше 5 ГБ (установлено 16 ГБ), и в моей сети не было процессов, отправляющих / получающих большое количество данных. Так что, если что-то добывается на заднем плане, я не могу сказать вообще. Я понятия не имею, что делать.

My Avast выполняет полное сканирование системы каждую неделю, так что это только что стало проблемой на этой неделе. Я проверил все свои расширения Chrome, и ничего не вышло из строя. Я не скачал ничего особенного за последнюю неделю, кроме новой операционной системы Mac (macOS High Sierra 10.13.1). Так что я понятия не имею, откуда это взялось, если честно, и понятия не имею, как от этого избавиться. Может кто-нибудь, пожалуйста, помогите мне.

Я подозреваю, что этот предполагаемый «вирус» исходит из обновления Apple, и что это просто предустановленный файл, который создается и запускается каждый раз при загрузке / перезагрузке ОС. Но я не уверен, так как у меня есть только один MacBook, и никто другой, которого я знаю, у которого есть Mac, не обновил ОС до High Sierra. Но Avast продолжает маркировать это как потенциальный вирус «Cryptonight», и никто больше онлайн не опубликовал ничего об этой проблеме. Таким образом, общий форум по удалению вирусов в моей ситуации не помогает, поскольку я уже пытался удалить его как с помощью Avast, так и с помощью вредоносных байт, и вручную.

39
Скорее всего, это ложный положительный результат. JakeGould 6 лет назад 5
Это то, к чему я прихожу к выводу, но я хочу ободрить, вот что это такое. Lonely Twinky 6 лет назад 1
@LonelyTwinky `BC8EE8D09234D99DD8B85A99E46C64` Кажется, магическое число! [Подробности см. В моем ответе] (https://superuser.com/a/1271775/167207). JakeGould 6 лет назад 5
Что заставляет вас думать, что криптовалюта предназначена только для окон? После предварительного поиска в «JS: Cryptonight» у меня сложилось впечатление, что он не зависит от платформы. Это «троян» asm.js, используемый некоторыми веб-сайтами для кражи вашего процессорного времени во время посещения их страниц и использования его для майнинга криптовалюты. Ничто об этом не является специфичным для Windows. bcrist 6 лет назад 1
@bcrist Один алгоритм не зависит от платформы, но единственные майнеры Mac, которые я могу найти, которые используют Cryptonight, не являются JavaScript; все они явно являются двоичными файлами системного уровня [такими как этот] (https://github.com/xbbricker/ccminer-cryptonight-mac). Более подробную информацию о реализации C [здесь] (https://cryptonote.org/inside.php#equal-proof-of-work) и [здесь] (https://github.com/cryptonotefoundation/cryptonote). Если бы это была просто угроза JavaScript, то пользователи Linux тоже жаловались бы. Кроме того, на компьютерах Mac по умолчанию установлены ужасные видеокарты, поэтому они делают ужасных майнеров. JakeGould 6 лет назад 2
Я связался с Avast по поводу того, что файл является ложноположительным, я буду публиковать обновленную информацию об их ответе всякий раз, когда они обратятся ко мне. Lonely Twinky 6 лет назад 3
Хорошо, что вы связались с Avast. Сотрудники Avast: обратите внимание, что до того, как этот вопрос был «защищен», 4 сообщения «Я тоже» уже были удалены, и 3 дубликата также были закрыты, в то время как этот вопрос уже имеет 4,7 тыс. Просмотров. Также обратите внимание, что в 1 удаленном сообщении говорится: «Я также использую macOS High Sierra 10.13.1, но обновляюсь только после того, как Avast обнаружил файл, поэтому он не пришел из обновления.» _ Arjan 6 лет назад 0

1 ответ на вопрос

65
JakeGould

Уверен, что в игре нет вирусов, вредоносных программ или троянов, и все они являются ложным положительным результатом.

Скорее всего, это ложное срабатывание, поскольку /var/db/uuidtext/оно связано с новой подсистемой «Унифицированная регистрация», которая была представлена ​​в macOS Sierra (10.2). Как объясняется в этой статье :

Первый путь к файлу ( /var/db/diagnostics/) содержит файлы журнала. Этим файлам присваивается имя с меткой времени, следующей за шаблоном logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Эти файлы являются двоичными файлами, которые мы должны использовать для анализа в новой утилите в macOS. Этот каталог также содержит некоторые другие файлы, включая дополнительные файлы log * .tracev3 и другие, которые содержат метаданные журнала. Второй путь к файлу ( /var/db/uuidtext/) содержит файлы, которые являются ссылками в основных файлах журнала * .tracev3.

Но в вашем случае «магия», похоже, исходит из хеша:

BC8EE8D09234D99DD8B85A99E46C64

Просто проверьте эту ссылку на известные файлы вредоносных программ Windows, которые ссылаются на этот конкретный хеш. Поздравляем! Ваш Mac волшебным образом создал имя файла, которое соответствует известному вектору, который в основном был замечен в системах Windows ... Но вы находитесь на Mac, и это имя файла является просто хэшем, который связан с файловой структурой системы базы данных «Унифицированная регистрация», и это Совершенно случайно, что оно соответствует имени файла вредоносной программы и не должно ничего значить.

И причина того, что конкретный файл, кажется, восстанавливается, основана на этой детали из вышеприведенного объяснения:

Второй путь к файлу ( /var/db/uuidtext/) содержит файлы, которые являются ссылками в основных файлах журнала * .tracev3.

Таким образом, вы удаляете файл в /var/db/uuidtext/, но все это является ссылкой на то, что в /var/db/diagnostics/. Поэтому, когда вы перезагружаетесь, он видит, что он отсутствует, и создает его заново /var/db/uuidtext/.

Что делать сейчас? Что ж, вы можете либо терпеть оповещения Avast, либо вы можете загрузить инструмент очистки кэша, такой как Onyx, и просто принудительно воссоздать журналы, действительно удалив их из вашей системы; не только этот BC8EE8D09234D99DD8B85A99E46C64файл. Надеемся, что хэш-имена файлов, которые он восстанавливает после полной очистки, не будут случайно совпадать с известным файлом вредоносного ПО.

ОБНОВЛЕНИЕ 1 : Кажется, что сотрудники Avast признают проблему в этом посте на своих форумах :

Я могу подтвердить, что это ложный положительный результат. В сообщении на superuser.com эта проблема описана достаточно хорошо: похоже, MacOS случайно создала файл, содержащий фрагменты вредоносного майнера криптовалюты, которые также вызывают одно из наших обнаружений.

Что действительно странного в этом утверждении, так это фраза: « … похоже, что MacOS случайно создала файл, содержащий фрагменты вредоносного майнера криптовалюты. »

Какие? Означает ли это, что кто-то из основной команды разработчиков программного обеспечения macOS в Apple каким-то образом «случайно» настроил систему, чтобы она генерировала стерилизованные фрагменты известного вредоносного майнера криптовалюты? Кто-нибудь связывался с Apple напрямую по этому поводу? Все это кажется немного сумасшедшим.

ОБНОВЛЕНИЕ 2 : Эта проблема далее объясняется кем-то на форумах Avast Радеком Бричем как просто идентифицирующая себя Avast:

Здравствуйте, я просто добавлю немного больше информации.

Файл создается системой MacOS, на самом деле он является частью диагностического отчета об использовании процессора. Отчет создается потому, что Avast активно использует процессор во время сканирования.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) идентифицирует библиотеку, которая является частью базы данных обнаружения Avast (algo.so). Содержимое файла является отладочной информацией, извлеченной из библиотеки. К сожалению, это, кажется, содержит строку, которая в свою очередь обнаруживается Avast как вредоносная программа.

(«Грубые» тексты, вероятно, просто названия вредоносных программ.)

Спасибо за объяснение, вы действительно спаситель. Очень хорошо объяснил тоже. Lonely Twinky 6 лет назад 4
Вот это да. С другой стороны, вы должны инвестировать в лотерейный билет! Такого рода «удача» не должна считаться «один раз в жизни», а «однажды за всю жизнь вселенной, от большого взрыва до смерти». Cort Ammon 6 лет назад 15
Чего ждать? Что это за алгоритм хеширования? Если это даже старая криптографическая криптография, мы имеем эквивалент случайного решения второй атаки перед изображением и заслуживают гораздо большего признания. Joshua 6 лет назад 13
@Joshua Может быть, инженер Apple внес свой вклад в вредоносное ПО и позволил некоторому коду генерации хэша проникнуть в их код «повседневной работы»? Разве это не удар по голове! JakeGould 6 лет назад 3
@ Джошуа, есть ли шанс, что это вовсе не криптографический хеш, а больше похож на строковый хеш Java? То есть строка как основание (трехзначное число) по модулю (девятизначное число). Также обратите внимание, что длина этого хэша составляет всего 30 кусочков = 120 бит. Приличный, но не вполне достаточный для криптографического использования, и нечетная длина предполагает, что это _собственная вещь. John Dvorak 6 лет назад 3
@JohnDvorak Полный путь: `/ private / var / db / uuidtext / 7B / BC8EE8D09234D99DD8B85A99E46C64`, поэтому имя файла может быть только последними 120 битами 128-битного хэша (первые 8 -` 7B`). Это не обязательно означает, что это криптографический хеш, но длина соответствует MD5. Matthew Crumley 6 лет назад 6
@CortAmmon довольно много удачи для одного файла на одном компьютере на одном вирусе, но я провел быстрый и грязный расчет (3,6 млн. Файлов на моем компьютере, 2B шт., ~ 29,5 млн. Хэшей вируса) и получил 1/10 ^ 13 шансов о столкновении (один из десяти триллионов - все еще впечатляет) и с учетом несовершенного распределения md5, я бы ожидал, что это сократится еще больше, хотя я не уверен, как учитывать эту роль. Kevin 6 лет назад 1
@Kevin Ну, не могли бы вы дать другое объяснение этому случаю? JakeGould 6 лет назад 0
Приятно найти этот пост на форуме. Между тем, это также объясняет: _Файл создается системой MacOS, на самом деле он является частью диагностического отчета «Использование ЦП». Отчет создается потому, что Avast активно использует процессор во время сканирования. UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) идентифицирует библиотеку, которая является частью базы данных обнаружения Avast (algo.so). Содержимое файла является отладочной информацией, извлеченной из библиотеки. К сожалению, это, кажется, содержит строку, которая, в свою очередь, обнаруживается Avast как вредоносное ПО._ И: _issue был из-за утечки некоторых проблем, которые могут вызвать обнаружение_ :-) cc @Joshua Arjan 6 лет назад 1

Похожие вопросы