Avast na macOS High Sierra twierdzi, że złapał wirusa „Cryptonight” tylko dla systemu Windows

39

Wczoraj przeprowadziłem pełne skanowanie systemu za pomocą mojego oprogramowania antywirusowego Avast i znalazłem plik infekcji. Lokalizacja pliku to:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast klasyfikuje plik infekcji jako:

JS:Cryptonight [Trj]

Po usunięciu pliku wykonałem jeszcze kilka pełnych skanowań systemu, aby sprawdzić, czy są jeszcze jakieś pliki. Nic nie znalazłem, dopóki nie uruchomiłem dziś ponownie mojego MacBooka Pro. Plik pojawił się ponownie w tej samej lokalizacji. Postanowiłem więc pozwolić Avastowi umieścić go w skrzynce z wirusami, ponownie uruchomić laptopa i ponownie plik znalazł się w tym samym miejscu. Dlatego wirus ponownie tworzy plik przy każdym ponownym uruchomieniu laptopa.

Chcę uniknąć wycierania laptopa i ponownej instalacji wszystkiego, dlatego tu jestem. Zbadałem ścieżkę do pliku i kryptowalutę i odkryłem, że kryptowaluta jest / może być złośliwym kodem, który może działać w tle czyjegoś komputera w celu wydobycia kryptowaluty. Monitoruję zużycie procesora, pamięci i sieci i nie widziałem żadnego dziwnego procesu. Mój procesor działa poniżej 30%, moja pamięć RAM ogólnie jest mniejsza niż 5 GB (zainstalowane 16 GB), a moja sieć nie miała żadnych procesów wysyłających / odbierających dużą ilość danych. Więc jeśli coś wydobywa się w tle, nie mogę w ogóle powiedzieć. Nie mam pojęcia, co robić.

Mój Avast uruchamia pełne skanowanie systemu co tydzień, więc to niedawno stało się problemem w tym tygodniu. Sprawdziłem wszystkie moje rozszerzenia chrome i nic nie jest zepsute, w ciągu ostatniego tygodnia nie pobrałem nic specjalnego poza nowym systemem operacyjnym Mac (macOS High Sierra 10.13.1). Tak więc nie mam pojęcia, skąd to się wzięło, i nie mam pojęcia, jak się go pozbyć. Czy ktoś mógłby mi pomóc.

Podejrzewam, że ten rzekomy „wirus” pochodzi z aktualizacji Apple i że jest to tylko wstępnie zainstalowany plik, który jest tworzony i uruchamiany przy każdym uruchomieniu / ponownym uruchomieniu systemu operacyjnego. Ale nie jestem pewien, ponieważ mam tylko jednego MacBooka i nikt inny, kogo znam, że ma komputer Mac, zaktualizował system operacyjny do High Sierra. Ale Avast wciąż określa to jako potencjalnego wirusa „Cryptonight” i nikt inny nie opublikował nic na ten temat. Dlatego wspólne forum usuwania wirusów nie jest pomocne w mojej sytuacji, ponieważ już próbowałem go usunąć za pomocą Avast, malwarebytes i ręcznie.

Samotny Twinky
źródło
5
Najprawdopodobniej jest to wynik fałszywie dodatni.
JakeGould
1
Do tego doszedłem do wniosku, ale chcę mieć pewność, że tak właśnie jest.
Lonely Twinky
5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64Wydaje się być magiczną liczbą! Zobacz moją odpowiedź, aby poznać szczegóły .
JakeGould,
2
@bcrist Sam algorytm jest niezależny od platformy, ale jedynymi programami dla komputerów Mac, które mogę znaleźć, używającymi Cryptonight, nie są JavaScript; wszystkie są wyraźnie binariami na poziomie systemu, takimi jak ten . Więcej szczegółów na temat implementacji języka C tutaj i tutaj . Gdyby było to wyłącznie zagrożenie JavaScript, użytkownicy Linuksa również by narzekali. Poza tym komputery Mac mają domyślnie okropne karty graficzne, przez co są strasznymi górnikami.
JakeGould
3
Skontaktowałem się z Avast w sprawie fałszywego wyniku pliku, opublikuję aktualizację ich odpowiedzi za każdym razem, gdy skontaktuje się ze mną.
Lonely Twinky

Odpowiedzi:

67

Jestem prawie pewien, że nie ma w nim wirusa, złośliwego oprogramowania ani trojana, a wszystkie z nich są wysoce przypadkowe, fałszywie pozytywne.

Najprawdopodobniej jest to wynik fałszywie dodatni, ponieważ /var/db/uuidtext/jest związany z nowym podsystemem „Unified Logging”, który został wprowadzony w macOS Sierra (10.2). Jak wyjaśnia ten artykuł :

Pierwsza ścieżka pliku ( /var/db/diagnostics/) zawiera pliki dziennika. Pliki te są nazywane nazwami znaczników czasu zgodnymi ze wzorcem logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Te pliki są plikami binarnymi, które będziemy musieli użyć nowego narzędzia w systemie macOS, aby je przeanalizować. Ten katalog zawiera również inne pliki, w tym dodatkowe pliki dziennika * .tracev3 i inne, które zawierają metadane rejestrowania. Druga ścieżka do pliku ( /var/db/uuidtext/) zawiera pliki, które są odwołaniami w głównych plikach dziennika * .tracev3.

Ale w twoim przypadku „magia” wydaje się pochodzić z hasza:

BC8EE8D09234D99DD8B85A99E46C64

Wystarczy sprawdzić to odniesienie dla znanych plików złośliwego oprogramowania dla systemu Windows, które odwołują się do tego konkretnego skrótu. Gratulacje! Twój komputer Mac stworzył w magiczny sposób nazwę pliku, która pasuje do znanego wektora, który był głównie widziany w systemach Windows… Ale jesteś na komputerze Mac, a ta nazwa pliku to tylko skrót, który jest połączony ze strukturą systemu bazy danych „Unified Logging” i jest to całkowicie przypadkowe, że pasuje do nazwy tego złośliwego pliku i nie powinno nic znaczyć.

Powód, dla którego określony plik wydaje się być regenerowany, opiera się na tym szczególe z powyższego wyjaśnienia:

Druga ścieżka do pliku ( /var/db/uuidtext/) zawiera pliki, które są odwołaniami w głównych plikach dziennika * .tracev3.

Więc usuwasz plik /var/db/uuidtext/, ale wszystko to jest odniesieniem do tego, co jest w środku /var/db/diagnostics/. Więc po ponownym uruchomieniu widzi, że go brakuje i odtwarza go ponownie /var/db/uuidtext/.

Co teraz zrobić? Cóż, możesz tolerować alerty Avast lub pobrać narzędzie do czyszczenia pamięci podręcznej, takie jak Onyx, i po prostu zmusić dzienniki do odtworzenia, usuwając je z systemu; nie tylko ten jeden BC8EE8D09234D99DD8B85A99E46C64plik. Mamy nadzieję, że nazwy skrótów plików, które regeneruje po pełnym czyszczeniu, nie będą przypadkowo pasowały do ​​znanego pliku złośliwego oprogramowania.


AKTUALIZACJA 1 : Wygląda na to, że pracownicy Avast potwierdzają problem w tym poście na swoich forach :

Mogę potwierdzić, że jest to wynik fałszywie dodatni. Post na stronie superuser.com dość dobrze opisuje problem - MacOS prawdopodobnie przypadkowo utworzył plik zawierający fragmenty złośliwego eksploratora kryptowalut, które również powodują jedno z naszych wykrytych zdarzeń.

To, co jest naprawdę dziwne w tym stwierdzeniu, to zdanie: „ … Wygląda na to, że MacOS przypadkowo utworzył plik zawierający fragmenty złośliwego eksploratora kryptowalut.

Co? Czy to sugeruje, że ktoś z głównego zespołu programistycznego MacOS w Apple w jakiś sposób „przypadkowo” skonfigurował system, aby generował wycięte fragmenty znanego złośliwego górnika kryptowaluty? Czy ktoś skontaktował się bezpośrednio z Apple w tej sprawie? To wszystko wydaje się trochę szalone.


AKTUALIZACJA 2 : Kwestię tę tłumaczy Radek Brich na forach Avast jako po prostu samoidentyfikacja Avast:

Witam, dodam trochę więcej informacji.

Plik jest tworzony przez system MacOS, w rzeczywistości jest częścią raportu diagnostycznego „użycie procesora”. Raport został utworzony, ponieważ Avast intensywnie wykorzystuje procesor podczas skanowania.

Identyfikator UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identyfikuje bibliotekę, która jest częścią bazy danych Avast Detection DB (algo.so). Zawartość pliku to informacje debugujące wyodrębnione z biblioteki. Niestety wydaje się, że zawiera ciąg, który w zamian wykrywa Avast jako szkodliwe oprogramowanie.

(„Niegrzeczne” teksty to prawdopodobnie tylko nazwy złośliwego oprogramowania).

JakeGould
źródło
4
Dziękuję za wyjaśnienie, naprawdę jesteś wybawcą. Bardzo dobrze wyjaśnione.
Lonely Twinky
16
Łał. Na powiązaną notatkę powinieneś zainwestować w los na lotto! Tego rodzaju „szczęście” nie powinno być „raz w życiu”, ale „raz w całym wszechświecie, od Wielkiego Wybuchu po śmierć śmierci”.
Cort Ammon,
14
Czekaj, co? Co to jest algorytm mieszania? Jeśli jest to nawet stary kryptograficzny, mamy odpowiednik losowego rozwiązania drugiego ataku przed obrazem i zasługuje na znacznie więcej uznania.
Joshua
3
@Joshua Może inżynier Apple przyczynia się do złośliwego oprogramowania i pozwala, aby jakiś kod generujący hasz prześlizgnął się do kodu „codziennej pracy”? Czy to nie byłby kopniak w głowę!
JakeGould
6
@JohnDvorak Pełna ścieżka to /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, więc nazwa pliku może być ostatnimi 120 bitami 128-bitowego skrótu (pierwsze 8 to 7B). Nie musi to oznaczać, że jest to kryptograficzny skrót, ale długość jest zgodna z MD5.
Matthew Crumley