Wczoraj przeprowadziłem pełne skanowanie systemu za pomocą mojego oprogramowania antywirusowego Avast i znalazłem plik infekcji. Lokalizacja pliku to:
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
Avast klasyfikuje plik infekcji jako:
JS:Cryptonight [Trj]
Po usunięciu pliku wykonałem jeszcze kilka pełnych skanowań systemu, aby sprawdzić, czy są jeszcze jakieś pliki. Nic nie znalazłem, dopóki nie uruchomiłem dziś ponownie mojego MacBooka Pro. Plik pojawił się ponownie w tej samej lokalizacji. Postanowiłem więc pozwolić Avastowi umieścić go w skrzynce z wirusami, ponownie uruchomić laptopa i ponownie plik znalazł się w tym samym miejscu. Dlatego wirus ponownie tworzy plik przy każdym ponownym uruchomieniu laptopa.
Chcę uniknąć wycierania laptopa i ponownej instalacji wszystkiego, dlatego tu jestem. Zbadałem ścieżkę do pliku i kryptowalutę i odkryłem, że kryptowaluta jest / może być złośliwym kodem, który może działać w tle czyjegoś komputera w celu wydobycia kryptowaluty. Monitoruję zużycie procesora, pamięci i sieci i nie widziałem żadnego dziwnego procesu. Mój procesor działa poniżej 30%, moja pamięć RAM ogólnie jest mniejsza niż 5 GB (zainstalowane 16 GB), a moja sieć nie miała żadnych procesów wysyłających / odbierających dużą ilość danych. Więc jeśli coś wydobywa się w tle, nie mogę w ogóle powiedzieć. Nie mam pojęcia, co robić.
Mój Avast uruchamia pełne skanowanie systemu co tydzień, więc to niedawno stało się problemem w tym tygodniu. Sprawdziłem wszystkie moje rozszerzenia chrome i nic nie jest zepsute, w ciągu ostatniego tygodnia nie pobrałem nic specjalnego poza nowym systemem operacyjnym Mac (macOS High Sierra 10.13.1). Tak więc nie mam pojęcia, skąd to się wzięło, i nie mam pojęcia, jak się go pozbyć. Czy ktoś mógłby mi pomóc.
Podejrzewam, że ten rzekomy „wirus” pochodzi z aktualizacji Apple i że jest to tylko wstępnie zainstalowany plik, który jest tworzony i uruchamiany przy każdym uruchomieniu / ponownym uruchomieniu systemu operacyjnego. Ale nie jestem pewien, ponieważ mam tylko jednego MacBooka i nikt inny, kogo znam, że ma komputer Mac, zaktualizował system operacyjny do High Sierra. Ale Avast wciąż określa to jako potencjalnego wirusa „Cryptonight” i nikt inny nie opublikował nic na ten temat. Dlatego wspólne forum usuwania wirusów nie jest pomocne w mojej sytuacji, ponieważ już próbowałem go usunąć za pomocą Avast, malwarebytes i ręcznie.
BC8EE8D09234D99DD8B85A99E46C64
Wydaje się być magiczną liczbą! Zobacz moją odpowiedź, aby poznać szczegóły .Odpowiedzi:
Jestem prawie pewien, że nie ma w nim wirusa, złośliwego oprogramowania ani trojana, a wszystkie z nich są wysoce przypadkowe, fałszywie pozytywne.
Najprawdopodobniej jest to wynik fałszywie dodatni, ponieważ
/var/db/uuidtext/
jest związany z nowym podsystemem „Unified Logging”, który został wprowadzony w macOS Sierra (10.2). Jak wyjaśnia ten artykuł :Ale w twoim przypadku „magia” wydaje się pochodzić z hasza:
Wystarczy sprawdzić to odniesienie dla znanych plików złośliwego oprogramowania dla systemu Windows, które odwołują się do tego konkretnego skrótu. Gratulacje! Twój komputer Mac stworzył w magiczny sposób nazwę pliku, która pasuje do znanego wektora, który był głównie widziany w systemach Windows… Ale jesteś na komputerze Mac, a ta nazwa pliku to tylko skrót, który jest połączony ze strukturą systemu bazy danych „Unified Logging” i jest to całkowicie przypadkowe, że pasuje do nazwy tego złośliwego pliku i nie powinno nic znaczyć.
Powód, dla którego określony plik wydaje się być regenerowany, opiera się na tym szczególe z powyższego wyjaśnienia:
Więc usuwasz plik
/var/db/uuidtext/
, ale wszystko to jest odniesieniem do tego, co jest w środku/var/db/diagnostics/
. Więc po ponownym uruchomieniu widzi, że go brakuje i odtwarza go ponownie/var/db/uuidtext/
.Co teraz zrobić? Cóż, możesz tolerować alerty Avast lub pobrać narzędzie do czyszczenia pamięci podręcznej, takie jak Onyx, i po prostu zmusić dzienniki do odtworzenia, usuwając je z systemu; nie tylko ten jeden
BC8EE8D09234D99DD8B85A99E46C64
plik. Mamy nadzieję, że nazwy skrótów plików, które regeneruje po pełnym czyszczeniu, nie będą przypadkowo pasowały do znanego pliku złośliwego oprogramowania.AKTUALIZACJA 1 : Wygląda na to, że pracownicy Avast potwierdzają problem w tym poście na swoich forach :
To, co jest naprawdę dziwne w tym stwierdzeniu, to zdanie: „ … Wygląda na to, że MacOS przypadkowo utworzył plik zawierający fragmenty złośliwego eksploratora kryptowalut. ”
Co? Czy to sugeruje, że ktoś z głównego zespołu programistycznego MacOS w Apple w jakiś sposób „przypadkowo” skonfigurował system, aby generował wycięte fragmenty znanego złośliwego górnika kryptowaluty? Czy ktoś skontaktował się bezpośrednio z Apple w tej sprawie? To wszystko wydaje się trochę szalone.
AKTUALIZACJA 2 : Kwestię tę tłumaczy Radek Brich na forach Avast jako po prostu samoidentyfikacja Avast:
źródło
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
, więc nazwa pliku może być ostatnimi 120 bitami 128-bitowego skrótu (pierwsze 8 to7B
). Nie musi to oznaczać, że jest to kryptograficzny skrót, ale długość jest zgodna z MD5.