Avast su macOS High Sierra afferma di aver rilevato il virus "Cryptonight" solo per Windows


39

Ieri ho eseguito una scansione completa del sistema utilizzando il mio software antivirus Avast e ho trovato un file di infezione. Il percorso del file è:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast classifica il file di infezione come:

JS:Cryptonight [Trj]

Quindi, dopo aver eliminato il file, ho fatto diverse altre scansioni del sistema per verificare se c'erano altri file. Non ho trovato nulla, fino a quando non ho riavviato il mio macbook pro oggi. Il file è riapparso nella stessa posizione. Così ho deciso di lasciare che Avast lo inserisse nel contenitore dei virus, ho riavviato il laptop e di nuovo il file era di nuovo nella stessa posizione. Pertanto, il virus sta ricreando il file ad ogni riavvio del laptop.

Voglio evitare di pulire il laptop e reinstallare tutto, quindi è per questo che sono qui. Ho studiato il percorso del file e criptonight e ho scoperto che criptonight è / può essere un codice dannoso che può essere eseguito in background sul computer di qualcuno per estrarre criptovaluta. Ho monitorato il mio utilizzo della CPU, memoria e rete e non ho visto un singolo processo in esecuzione. La mia CPU funziona al di sotto del 30%, la mia RAM è generalmente inferiore a 5 GB (installati 16 GB) e la mia rete non ha avuto alcun processo di invio / ricezione di grandi quantità di dati. Quindi se qualcosa sta estraendo in background, non posso dirlo affatto. Non ho idea di cosa fare.

My Avast esegue scansioni complete del sistema ogni settimana, quindi questa settimana è diventato un problema recentemente. Ho controllato tutte le mie estensioni di Chrome e nulla è fuori servizio, non ho scaricato nulla di speciale nell'ultima settimana, oltre al nuovo sistema operativo Mac (macOS High Sierra 10.13.1). Quindi non ho idea da dove provenga questo per essere onesto e non ho idea di come liberarmene. Qualcuno può aiutarmi per favore.

Sospetto che questo presunto "virus" provenga dall'aggiornamento Apple e che sia solo un file preinstallato che viene creato ed eseguito ogni volta che il sistema operativo viene avviato / riavviato. Ma non sono sicuro poiché ho solo un MacBook e nessun altro che io sappia che ha un Mac ha aggiornato il sistema operativo a High Sierra. Ma Avast continua a etichettarlo come un potenziale virus "Cryptonight" e nessun altro online ha pubblicato nulla su questo problema. Pertanto, un forum di rimozione di virus comune non è utile nella mia situazione, poiché ho già tentato di rimuoverlo con Avast, malwarebytes e manualmente.


5
È molto probabilmente un falso positivo.
Jake Gould il

1
Questo è ciò a cui sto arrivando alla conclusione, ma voglio essere rassicurato, quindi è quello che è.
Lonely Twinky,

5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64Sembra essere un numero magico! Vedi la mia risposta per i dettagli .
Jake Gould il

2
@bcrist L'algoritmo da solo è indipendente dalla piattaforma, ma gli unici Mac minatori che posso trovare che usano Cryptonight non sono JavaScript; sono tutti binari chiaramente a livello di sistema come questo . Maggiori dettagli sulle implementazioni C qui e qui . Se questa fosse puramente una minaccia JavaScript, anche gli utenti Linux si lamenterebbero. Inoltre, i Mac hanno orribilmente le schede video di default, quindi fanno terribili minatori di monete.
Jake Gould il

3
Ho contattato Avast sul fatto che il file fosse un falso positivo, posterò un aggiornamento sulla loro risposta ogni volta che mi ricontatteranno.
Lonely Twinky,

Risposte:


67

Abbastanza sicuro che non ci siano virus, malware o trojan in gioco e il suo è un falso positivo altamente casuale.

È molto probabilmente un falso positivo poiché /var/db/uuidtext/è correlato al nuovo sottosistema "Unified Logging" introdotto in macOS Sierra (10.2). Come spiega questo articolo :

Il primo percorso del file ( /var/db/diagnostics/) contiene i file di registro. Questi file sono denominati con un nome file timestamp che segue il modello logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Questi file sono file binari che dovremo utilizzare una nuova utility su macOS per analizzarli. Questa directory contiene anche altri file, inclusi file di registro * .tracev3 aggiuntivi e altri che contengono metadati di registrazione. Il secondo percorso del file ( /var/db/uuidtext/) contiene file che sono riferimenti nei file di registro principali * .tracev3.

Ma nel tuo caso la "magia" sembra provenire dall'hash:

BC8EE8D09234D99DD8B85A99E46C64

Dai un'occhiata a questo riferimento per i file malware noti di Windows che fanno riferimento a un hash specifico. Congratulazioni! Il tuo Mac ha magicamente creato un nome file che corrisponde a un vettore noto che è stato visto principalmente su sistemi Windows ... Ma sei su un Mac e questo nome file è solo un hash che è collegato alla struttura dei file del sistema di database "Unified Logging" ed è completamente casuale che corrisponda a quel nome di file malware e non dovrebbe significare nulla.

E il motivo per cui un file specifico sembra rigenerarsi si basa su questo dettaglio dalla spiegazione sopra:

Il secondo percorso del file ( /var/db/uuidtext/) contiene file che sono riferimenti nei file di registro principali * .tracev3.

Quindi elimini il file /var/db/uuidtext/, ma tutto ciò che è è un riferimento a ciò che è dentro /var/db/diagnostics/. Quindi quando riavvii, vede che manca e lo ricrea /var/db/uuidtext/.

Cosa fare adesso? Bene, puoi tollerare gli avvisi di Avast oppure puoi scaricare uno strumento di pulizia della cache come Onyx e forzare la ricostruzione dei log eliminandoli davvero dal tuo sistema; non solo quel BC8EE8D09234D99DD8B85A99E46C64file. Si spera che i nomi di hash dei file che si rigenera dopo una pulizia completa non corrispondano accidentalmente a un file malware noto.


AGGIORNAMENTO 1 : Sembra che lo staff di Avast riconosca il problema in questo post nei loro forum :

Posso confermare che questo è un falso positivo. Il post di superuser.com descrive abbastanza bene il problema: sembra che MacOS abbia creato accidentalmente un file che contiene frammenti di minatori di criptovaluta dannosi che causano anche uno dei nostri rilevamenti.

Ora, ciò che è davvero strano in questa affermazione è la frase “ … MacOS sembra aver accidentalmente creato un file che contiene frammenti di minatori di criptovaluta malevoli.

Che cosa? Ciò implica che qualcuno del core team di sviluppo software macOS di Apple abbia in qualche modo "accidentalmente" configurato il sistema in modo che generi frammenti sterilizzati di un noto minatore di criptovaluta dannoso? Qualcuno ha contattato direttamente Apple per questo? Tutto questo sembra un po 'folle.


AGGIORNAMENTO 2 : Questo problema è ulteriormente spiegato da qualcuno Radek Brich the Avast forum come semplicemente Avast che si identifica da solo:

Ciao, aggiungerò solo un po 'più di informazioni.

Il file è creato dal sistema MacOS, in realtà fa parte del rapporto di diagnostica "utilizzo della CPU". Il report viene creato perché Avast utilizza pesantemente la CPU durante la scansione.

L'UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifica una libreria che fa parte del DB dei rilevamenti di Avast (algo.so). Il contenuto del file è il debug delle informazioni estratte dalla libreria. Sfortunatamente, questo sembra contenere una stringa che viene in cambio rilevata da Avast come malware.

(I testi "maleducati" sono probabilmente solo nomi di malware.)


4
Grazie per la spiegazione, sei veramente un salvatore. Molto ben spiegato anche.
Lonely Twinky,

16
Wow. In una nota correlata, dovresti investire in un biglietto del lotto! Quel tipo di "fortuna" non dovrebbe essere "una volta nella vita", dovrebbe essere "una volta nell'intera durata della vita dell'universo, dal big bang alla morte in calore".
Cort Ammon,

14
Aspetta cosa? Cos'è l'algoritmo di hash? Se è persino un vecchio crittografico, abbiamo l'equivalente di risolvere casualmente un secondo attacco pre-immagine e merita molto più riconoscimento.
Giosuè il

3
@Joshua Forse un ingegnere Apple contribuisce al malware e lascia che un codice di generazione hash scivoli nel suo codice di "lavoro quotidiano"? Non sarebbe un calcio in testa!
Jake Gould,

6
@JohnDvorak Il percorso completo è /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, quindi il nome del file potrebbe essere solo gli ultimi 120 bit di un hash a 128 bit (i primi 8 sono 7B). Ciò non significa necessariamente che sia un hash crittografico, ma la lunghezza corrisponde a MD5.
Matthew Crumley,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.