Avast บน macOS High Sierra อ้างว่าติดไวรัส“ Cryptonight” ของ Windows เท่านั้น


39

เมื่อวานฉันใช้การสแกนระบบแบบเต็มโดยใช้ซอฟต์แวร์ป้องกันไวรัส Avast และพบไฟล์ติดไวรัส ตำแหน่งของไฟล์คือ:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast จัดหมวดหมู่ไฟล์ติดไวรัสเป็น:

JS:Cryptonight [Trj]

ดังนั้นหลังจากลบไฟล์ฉันได้ทำการสแกนระบบอย่างเต็มรูปแบบอีกหลายครั้งเพื่อตรวจสอบว่ามีไฟล์อื่นอีกหรือไม่ ฉันไม่พบอะไรเลยจนกว่าฉันจะรีสตาร์ท macbook pro ในวันนี้ ไฟล์ปรากฏขึ้นอีกครั้งในตำแหน่งเดียวกัน ดังนั้นฉันจึงตัดสินใจปล่อยให้ Avast วางไว้ในหีบไวรัสรีสตาร์ทแล็ปท็อปและไฟล์ก็อยู่ในตำแหน่งเดิมอีกครั้ง ดังนั้นไวรัสจะสร้างไฟล์ขึ้นใหม่ทุกครั้งที่รีสตาร์ทแล็ปท็อป

ฉันต้องการหลีกเลี่ยงการเช็ดแล็ปท็อปและติดตั้งใหม่ทุกอย่างดังนั้นฉันจึงมาที่นี่ ฉันค้นคว้าเส้นทางของไฟล์และ Cryptonight และพบว่า Cryptonight เป็น / อาจเป็นรหัสที่เป็นอันตรายที่สามารถทำงานในพื้นหลังของคอมพิวเตอร์ของใครบางคนเพื่อขุด cryptocurrency ฉันได้ตรวจสอบการใช้งาน CPU หน่วยความจำและเครือข่ายของฉันและฉันไม่ได้เห็นกระบวนการแปลก ๆ ที่ทำงานอยู่ CPU ของฉันทำงานต่ำกว่า 30% โดยทั่วไปแล้ว RAM ของฉันต่ำกว่า 5GB (ติดตั้ง 16GB) และเครือข่ายของฉันไม่มีกระบวนการส่ง / รับข้อมูลจำนวนมาก ดังนั้นถ้ามีอะไรบางอย่างกำลังขุดอยู่เบื้องหลังฉันไม่สามารถบอกได้เลย ฉันไม่มีเงื่อนงำสิ่งที่ต้องทำ

My Avast ทำการสแกนระบบอย่างสมบูรณ์ทุกสัปดาห์ดังนั้นเมื่อไม่นานมานี้ก็กลายเป็นปัญหาในสัปดาห์นี้ ฉันตรวจสอบส่วนขยายของโครเมี่ยมทั้งหมดและไม่มีอะไรผิดปกติฉันไม่ได้ดาวน์โหลดอะไรเป็นพิเศษในสัปดาห์ที่ผ่านมานอกเหนือจากระบบปฏิบัติการ Mac ใหม่ (macOS High Sierra 10.13.1) ดังนั้นฉันจึงไม่มีเงื่อนงำที่สิ่งนี้มาจากความซื่อสัตย์และฉันไม่มีเงื่อนงำว่าจะกำจัดมันได้อย่างไร ใครก็ได้โปรดช่วยฉันออก

ฉันสงสัยว่า "ไวรัส" นี้ควรมาจากการอัปเดตของ Apple และเป็นเพียงไฟล์ที่ติดตั้งไว้ล่วงหน้าที่สร้างขึ้นและทำงานทุกครั้งที่ระบบปฏิบัติการถูกบูต / รีบูต แต่ฉันไม่แน่ใจเพราะฉันมี MacBook เพียงเครื่องเดียวและไม่มีใครรู้ว่ามี mac ได้อัปเดตระบบปฏิบัติการเป็น High Sierra แต่ Avast ยังคงติดฉลากนี้ว่าเป็นไวรัส“ Cryptonight” ที่อาจเกิดขึ้นและไม่มีใครออนไลน์โพสต์อะไรเกี่ยวกับปัญหานี้ ดังนั้นฟอรัมการกำจัดไวรัสทั่วไปจึงไม่เป็นประโยชน์ในสถานการณ์ของฉันเนื่องจากฉันได้พยายามลบออกด้วย Avast, Malwarebytes และด้วยตนเอง


5
เป็นไปได้มากว่ามันเป็นบวกอย่างผิด ๆ
JakeGould

1
นั่นคือสิ่งที่ฉันกำลังจะมาถึงบทสรุป แต่ฉันต้องการความมั่นใจดังนั้นนั่นคือสิ่งที่มันเป็น
Lonely Twinky

5
@ LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64ดูเหมือนจะเป็นหมายเลขเวทย์มนตร์! ดูคำตอบของฉันสำหรับรายละเอียด
JakeGould

2
@bcrist อัลกอริทึมเพียงอย่างเดียวคือผู้ไม่เชื่อเรื่องพระเจ้าแพลตฟอร์ม แต่คนงานเหมือง Mac เท่านั้นที่ฉันสามารถพบว่าการใช้ Cryptonight ไม่ใช่ JavaScript; พวกเขาทั้งหมดไบนารีระดับระบบอย่างชัดเจนเช่นนี้ รายละเอียดเพิ่มเติมเกี่ยวกับการใช้งานของ C ที่นี่และที่นี่ หากนี่เป็นภัยคุกคาม JavaScript อย่างแท้จริงผู้ใช้ Linux ก็จะบ่นเช่นกัน นอกจากนี้ Macs มีการ์ดวิดีโอที่น่ากลัวโดยค่าเริ่มต้นเพื่อให้พวกเขาทำเหรียญที่น่ากลัว
JakeGould

3
ฉันได้ติดต่อ Avast เกี่ยวกับไฟล์ว่าเป็นผลบวกที่เป็นเท็จฉันจะโพสต์การอัปเดตเกี่ยวกับการตอบกลับของพวกเขาทุกครั้งที่พวกเขาติดต่อฉันกลับ
Lonely Twinky

คำตอบ:


67

ค่อนข้างแน่ใจว่าไม่มีไวรัสมัลแวร์หรือโทรจันที่เล่นอยู่และเขาทั้งหมดนั้นเป็นผลบวกที่ผิดพลาดโดยบังเอิญ

เป็นไปได้มากว่ามีการบวกผิดเนื่องจาก/var/db/uuidtext/เกี่ยวข้องกับระบบย่อย“ Unified Logging” ใหม่ที่เปิดตัวใน macOS Sierra (10.2) ตามที่อธิบายในบทความนี้ :

พา ธ ไฟล์แรก ( /var/db/diagnostics/) ประกอบด้วยไฟล์บันทึก logdata.Persistent.YYYYMMDDTHHMMSS.tracev3ไฟล์เหล่านี้มีชื่อที่มีชื่อไฟล์ที่ประทับเวลาดังต่อไปนี้รูปแบบ ไฟล์เหล่านี้เป็นไฟล์ไบนารีที่เราจะต้องใช้ยูทิลิตีใหม่บน macOS เพื่อแยกวิเคราะห์ ไดเร็กทอรีนี้มีไฟล์อื่น ๆ รวมถึงไฟล์ log * .tracev3 เพิ่มเติมและไฟล์อื่น ๆ ที่มี metadata การบันทึก พา ธ ไฟล์ที่สอง ( /var/db/uuidtext/) มีไฟล์ที่อ้างอิงในไฟล์บันทึกหลัก * .tracev3

แต่ในกรณีของคุณ "วิเศษ" ดูเหมือนจะมาจากความยุ่งเหยิง:

BC8EE8D09234D99DD8B85A99E46C64

เพียงตรวจสอบข้อมูลอ้างอิงนี้เพื่อหาไฟล์มัลแวร์ Windows ที่รู้จักซึ่งอ้างอิงแฮชที่เฉพาะเจาะจงหนึ่งรายการ ขอแสดงความยินดี! Mac ของคุณสร้างชื่อไฟล์อย่างน่าอัศจรรย์ซึ่งตรงกับเวกเตอร์ที่รู้จักกันดีซึ่งถูกพบในระบบ Windows เป็นหลัก ... แต่คุณอยู่ใน Mac และชื่อไฟล์นี้เป็นเพียงแฮชที่เชื่อมต่อกับโครงสร้างไฟล์ของระบบ "Unified Logging" บังเอิญโดยสมบูรณ์ว่าตรงกับชื่อไฟล์ของมัลแวร์และไม่ควรมีความหมายอะไรเลย

และเหตุผลที่ไฟล์เฉพาะดูเหมือนว่าจะสร้างใหม่ขึ้นอยู่กับรายละเอียดจากคำอธิบายข้างต้นนี้:

พา ธ ไฟล์ที่สอง ( /var/db/uuidtext/) มีไฟล์ที่อ้างอิงในไฟล์บันทึกหลัก * .tracev3

ดังนั้นคุณลบไฟล์ในแต่ทั้งหมดมันเป็นคือการอ้างอิงถึงสิ่งที่อยู่ใน/var/db/uuidtext/ ดังนั้นเมื่อคุณเริ่มต้นใหม่ก็เห็นว่ามันจะหายไปและจะสร้างใน/var/db/diagnostics//var/db/uuidtext/

สำหรับสิ่งที่ต้องทำตอนนี้? คุณสามารถทนต่อการแจ้งเตือน Avast หรือคุณสามารถดาวน์โหลดเครื่องมือทำความสะอาดแคชเช่น Onyxและเพียงแค่บังคับให้สร้างบันทึกใหม่โดยกำจัดพวกเขาออกจากระบบของคุณอย่างแท้จริง ไม่ใช่แค่BC8EE8D09234D99DD8B85A99E46C64ไฟล์เดียว หวังว่าชื่อแฮชของไฟล์ที่จะสร้างใหม่หลังจากการทำความสะอาดแบบเต็มจะไม่จับคู่กับไฟล์มัลแวร์ที่รู้จักอีกครั้ง


ปรับปรุง 1 : ดูเหมือนว่าพนักงาน Avast รับทราบปัญหาในโพสต์นี้ในฟอรัมของพวกเขา :

ฉันสามารถยืนยันได้ว่านี่เป็นสิ่งที่ผิดพลาด โพสต์ superuser.com อธิบายปัญหาได้ค่อนข้างดี - MacOS ดูเหมือนว่าจะสร้างไฟล์ที่มีชิ้นส่วนของตัวขุดแร่ที่เป็นอันตรายซึ่งยังเกิดขึ้นเพื่อเรียกหนึ่งในการตรวจจับของเรา

ตอนนี้สิ่งที่แปลกจริงๆเกี่ยวกับคำสั่งนี้คือวลี“ … MacOS ดูเหมือนว่าจะสร้างไฟล์ที่มีชิ้นส่วนของตัวขุดแร่ที่เป็นอันตรายที่เข้ารหัสโดยไม่ตั้งใจ

อะไร? นี่หมายความว่ามีบางคนในทีมพัฒนาซอฟแวร์ macOS หลักของ Apple ที่“ บังเอิญ” ติดตั้งระบบดังนั้นมันจึงสร้างชิ้นส่วนที่ไม่รู้จักของคนขุดเจาะ cryptocurrency ที่เป็นอันตรายหรือไม่? มีใครติดต่อ Apple โดยตรงเกี่ยวกับเรื่องนี้หรือไม่? ทั้งหมดนี้ดูเหมือนจะบ้าไปหน่อย


ปรับปรุง 2 : ปัญหานี้มีการอธิบายเพิ่มเติมโดยใครบางคน Radek Brich ฟอรั่ม Avast เพียง Avast ระบุตัวเอง:

สวัสดีฉันจะเพิ่มข้อมูลอีกเล็กน้อย

ไฟล์นี้สร้างขึ้นโดยระบบ MacOS ซึ่งเป็นส่วนหนึ่งของรายงานการวินิจฉัย "การใช้ cpu" รายงานถูกสร้างขึ้นเนื่องจาก Avast ใช้ CPU อย่างหนักระหว่างการสแกน

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) ระบุไลบรารีซึ่งเป็นส่วนหนึ่งของการตรวจจับ Avast DB (algo.so) เนื้อหาของไฟล์นั้นเป็นการดีบั๊กข้อมูลที่ดึงมาจากไลบรารี น่าเสียดายนี่ดูเหมือนจะมีสตริงที่ Avast ตรวจพบว่าเป็นมัลแวร์

(ข้อความ "หยาบ" อาจเป็นเพียงชื่อมัลแวร์)


4
ขอบคุณสำหรับคำอธิบายคุณเป็นผู้ช่วยให้รอดอย่างแท้จริง อธิบายได้ดีมากเช่นกัน
Lonely Twinky

16
ว้าว. ในบันทึกที่เกี่ยวข้องคุณควรลงทุนในตั๋วล็อตโต้! "โชค" แบบนั้นไม่ควรจะเป็น "ครั้งเดียวในชีวิต" มันควรจะเป็น "ครั้งหนึ่งในช่วงชีวิตทั้งหมดของเอกภพตั้งแต่บิ๊กแบงจนถึงการเสียชีวิตของความร้อน"
Cort Ammon

14
รออะไร? อัลกอริธึมแฮชคืออะไร หากแม้แต่การเข้ารหัสลับแบบเก่าเราก็มีวิธีเทียบเท่ากับการแก้ปัญหาการโจมตีล่วงหน้าของภาพที่สองและสมควรได้รับการยอมรับมากขึ้น
Joshua

3
@Joshua บางทีวิศวกรของ Apple เป็นผู้สนับสนุนมัลแวร์และปล่อยให้รหัสการสร้างรหัสแฮชลงในรหัส "งานวัน" ของพวกเขา จะไม่เป็นการเตะหัว!
JakeGould

6
@JohnDvorak พา ธ เต็มคือ/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64ดังนั้นชื่อไฟล์อาจเป็นเพียง 120 บิตสุดท้ายของแฮช 128 บิต (8 อันดับแรก7B) ไม่ได้แปลว่าเป็นแฮชการเข้ารหัส แต่ความยาวนั้นตรงกับ MD5
Matthew Crumley
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.