Avast บน macOS High Sierra อ้างว่าติดไวรัส“ Cryptonight” ของ Windows เท่านั้น

เมื่อวานฉันใช้การสแกนระบบแบบเต็มโดยใช้ซอฟต์แวร์ป้องกันไวรัส Avast และพบไฟล์ติดไวรัส ตำแหน่งของไฟล์คือ:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast จัดหมวดหมู่ไฟล์ติดไวรัสเป็น:

JS:Cryptonight [Trj]

ดังนั้นหลังจากลบไฟล์ฉันได้ทำการสแกนระบบอย่างเต็มรูปแบบอีกหลายครั้งเพื่อตรวจสอบว่ามีไฟล์อื่นอีกหรือไม่ ฉันไม่พบอะไรเลยจนกว่าฉันจะรีสตาร์ท macbook pro ในวันนี้ ไฟล์ปรากฏขึ้นอีกครั้งในตำแหน่งเดียวกัน ดังนั้นฉันจึงตัดสินใจปล่อยให้ Avast วางไว้ในหีบไวรัสรีสตาร์ทแล็ปท็อปและไฟล์ก็อยู่ในตำแหน่งเดิมอีกครั้ง ดังนั้นไวรัสจะสร้างไฟล์ขึ้นใหม่ทุกครั้งที่รีสตาร์ทแล็ปท็อป

ฉันต้องการหลีกเลี่ยงการเช็ดแล็ปท็อปและติดตั้งใหม่ทุกอย่างดังนั้นฉันจึงมาที่นี่ ฉันค้นคว้าเส้นทางของไฟล์และ Cryptonight และพบว่า Cryptonight เป็น / อาจเป็นรหัสที่เป็นอันตรายที่สามารถทำงานในพื้นหลังของคอมพิวเตอร์ของใครบางคนเพื่อขุด cryptocurrency ฉันได้ตรวจสอบการใช้งาน CPU หน่วยความจำและเครือข่ายของฉันและฉันไม่ได้เห็นกระบวนการแปลก ๆ ที่ทำงานอยู่ CPU ของฉันทำงานต่ำกว่า 30% โดยทั่วไปแล้ว RAM ของฉันต่ำกว่า 5GB (ติดตั้ง 16GB) และเครือข่ายของฉันไม่มีกระบวนการส่ง / รับข้อมูลจำนวนมาก ดังนั้นถ้ามีอะไรบางอย่างกำลังขุดอยู่เบื้องหลังฉันไม่สามารถบอกได้เลย ฉันไม่มีเงื่อนงำสิ่งที่ต้องทำ

My Avast ทำการสแกนระบบอย่างสมบูรณ์ทุกสัปดาห์ดังนั้นเมื่อไม่นานมานี้ก็กลายเป็นปัญหาในสัปดาห์นี้ ฉันตรวจสอบส่วนขยายของโครเมี่ยมทั้งหมดและไม่มีอะไรผิดปกติฉันไม่ได้ดาวน์โหลดอะไรเป็นพิเศษในสัปดาห์ที่ผ่านมานอกเหนือจากระบบปฏิบัติการ Mac ใหม่ (macOS High Sierra 10.13.1) ดังนั้นฉันจึงไม่มีเงื่อนงำที่สิ่งนี้มาจากความซื่อสัตย์และฉันไม่มีเงื่อนงำว่าจะกำจัดมันได้อย่างไร ใครก็ได้โปรดช่วยฉันออก

ฉันสงสัยว่า "ไวรัส" นี้ควรมาจากการอัปเดตของ Apple และเป็นเพียงไฟล์ที่ติดตั้งไว้ล่วงหน้าที่สร้างขึ้นและทำงานทุกครั้งที่ระบบปฏิบัติการถูกบูต / รีบูต แต่ฉันไม่แน่ใจเพราะฉันมี MacBook เพียงเครื่องเดียวและไม่มีใครรู้ว่ามี mac ได้อัปเดตระบบปฏิบัติการเป็น High Sierra แต่ Avast ยังคงติดฉลากนี้ว่าเป็นไวรัส“ Cryptonight” ที่อาจเกิดขึ้นและไม่มีใครออนไลน์โพสต์อะไรเกี่ยวกับปัญหานี้ ดังนั้นฟอรัมการกำจัดไวรัสทั่วไปจึงไม่เป็นประโยชน์ในสถานการณ์ของฉันเนื่องจากฉันได้พยายามลบออกด้วย Avast, Malwarebytes และด้วยตนเอง

ค่อนข้างแน่ใจว่าไม่มีไวรัสมัลแวร์หรือโทรจันที่เล่นอยู่และเขาทั้งหมดนั้นเป็นผลบวกที่ผิดพลาดโดยบังเอิญ

เป็นไปได้มากว่ามีการบวกผิดเนื่องจาก/var/db/uuidtext/เกี่ยวข้องกับระบบย่อย“ Unified Logging” ใหม่ที่เปิดตัวใน macOS Sierra (10.2) ตามที่อธิบายในบทความนี้ :

พา ธ ไฟล์แรก ( /var/db/diagnostics/) ประกอบด้วยไฟล์บันทึก logdata.Persistent.YYYYMMDDTHHMMSS.tracev3ไฟล์เหล่านี้มีชื่อที่มีชื่อไฟล์ที่ประทับเวลาดังต่อไปนี้รูปแบบ ไฟล์เหล่านี้เป็นไฟล์ไบนารีที่เราจะต้องใช้ยูทิลิตีใหม่บน macOS เพื่อแยกวิเคราะห์ ไดเร็กทอรีนี้มีไฟล์อื่น ๆ รวมถึงไฟล์ log * .tracev3 เพิ่มเติมและไฟล์อื่น ๆ ที่มี metadata การบันทึก พา ธ ไฟล์ที่สอง ( /var/db/uuidtext/) มีไฟล์ที่อ้างอิงในไฟล์บันทึกหลัก * .tracev3

แต่ในกรณีของคุณ "วิเศษ" ดูเหมือนจะมาจากความยุ่งเหยิง:

BC8EE8D09234D99DD8B85A99E46C64

เพียงตรวจสอบข้อมูลอ้างอิงนี้เพื่อหาไฟล์มัลแวร์ Windows ที่รู้จักซึ่งอ้างอิงแฮชที่เฉพาะเจาะจงหนึ่งรายการ ขอแสดงความยินดี! Mac ของคุณสร้างชื่อไฟล์อย่างน่าอัศจรรย์ซึ่งตรงกับเวกเตอร์ที่รู้จักกันดีซึ่งถูกพบในระบบ Windows เป็นหลัก ... แต่คุณอยู่ใน Mac และชื่อไฟล์นี้เป็นเพียงแฮชที่เชื่อมต่อกับโครงสร้างไฟล์ของระบบ "Unified Logging" บังเอิญโดยสมบูรณ์ว่าตรงกับชื่อไฟล์ของมัลแวร์และไม่ควรมีความหมายอะไรเลย

และเหตุผลที่ไฟล์เฉพาะดูเหมือนว่าจะสร้างใหม่ขึ้นอยู่กับรายละเอียดจากคำอธิบายข้างต้นนี้:

พา ธ ไฟล์ที่สอง ( /var/db/uuidtext/) มีไฟล์ที่อ้างอิงในไฟล์บันทึกหลัก * .tracev3

ดังนั้นคุณลบไฟล์ในแต่ทั้งหมดมันเป็นคือการอ้างอิงถึงสิ่งที่อยู่ใน/var/db/uuidtext/ ดังนั้นเมื่อคุณเริ่มต้นใหม่ก็เห็นว่ามันจะหายไปและจะสร้างใน/var/db/diagnostics//var/db/uuidtext/

สำหรับสิ่งที่ต้องทำตอนนี้? คุณสามารถทนต่อการแจ้งเตือน Avast หรือคุณสามารถดาวน์โหลดเครื่องมือทำความสะอาดแคชเช่น Onyxและเพียงแค่บังคับให้สร้างบันทึกใหม่โดยกำจัดพวกเขาออกจากระบบของคุณอย่างแท้จริง ไม่ใช่แค่BC8EE8D09234D99DD8B85A99E46C64ไฟล์เดียว หวังว่าชื่อแฮชของไฟล์ที่จะสร้างใหม่หลังจากการทำความสะอาดแบบเต็มจะไม่จับคู่กับไฟล์มัลแวร์ที่รู้จักอีกครั้ง

ปรับปรุง 1 : ดูเหมือนว่าพนักงาน Avast รับทราบปัญหาในโพสต์นี้ในฟอรัมของพวกเขา :

ฉันสามารถยืนยันได้ว่านี่เป็นสิ่งที่ผิดพลาด โพสต์ superuser.com อธิบายปัญหาได้ค่อนข้างดี - MacOS ดูเหมือนว่าจะสร้างไฟล์ที่มีชิ้นส่วนของตัวขุดแร่ที่เป็นอันตรายซึ่งยังเกิดขึ้นเพื่อเรียกหนึ่งในการตรวจจับของเรา

ตอนนี้สิ่งที่แปลกจริงๆเกี่ยวกับคำสั่งนี้คือวลี“ … MacOS ดูเหมือนว่าจะสร้างไฟล์ที่มีชิ้นส่วนของตัวขุดแร่ที่เป็นอันตรายที่เข้ารหัสโดยไม่ตั้งใจ ”

อะไร? นี่หมายความว่ามีบางคนในทีมพัฒนาซอฟแวร์ macOS หลักของ Apple ที่“ บังเอิญ” ติดตั้งระบบดังนั้นมันจึงสร้างชิ้นส่วนที่ไม่รู้จักของคนขุดเจาะ cryptocurrency ที่เป็นอันตรายหรือไม่? มีใครติดต่อ Apple โดยตรงเกี่ยวกับเรื่องนี้หรือไม่? ทั้งหมดนี้ดูเหมือนจะบ้าไปหน่อย

ปรับปรุง 2 : ปัญหานี้มีการอธิบายเพิ่มเติมโดยใครบางคน Radek Brich ฟอรั่ม Avast เพียง Avast ระบุตัวเอง:

สวัสดีฉันจะเพิ่มข้อมูลอีกเล็กน้อย

ไฟล์นี้สร้างขึ้นโดยระบบ MacOS ซึ่งเป็นส่วนหนึ่งของรายงานการวินิจฉัย "การใช้ cpu" รายงานถูกสร้างขึ้นเนื่องจาก Avast ใช้ CPU อย่างหนักระหว่างการสแกน

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) ระบุไลบรารีซึ่งเป็นส่วนหนึ่งของการตรวจจับ Avast DB (algo.so) เนื้อหาของไฟล์นั้นเป็นการดีบั๊กข้อมูลที่ดึงมาจากไลบรารี น่าเสียดายนี่ดูเหมือนจะมีสตริงที่ Avast ตรวจพบว่าเป็นมัลแวร์

(ข้อความ "หยาบ" อาจเป็นเพียงชื่อมัลแวร์)