macOS High Sierra上的Avast声称它已经捕获了仅Windows的“ Cryptonight”病毒

昨天，我使用Avast防病毒软件运行了完整的系统扫描，结果发现感染文件。该文件的位置是：

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast将感染文件归类为：

JS:Cryptonight [Trj]

因此，删除文件后，我又进行了几次完整的系统扫描，以检查是否还有其他文件。我什么都没找到，直到今天重新启动了Macbook Pro。该文件重新出现在同一位置。因此，我决定让Av​​ast将其放入病毒箱，重新启动笔记本电脑，然后文件再次位于同一位置。因此，病毒会在笔记本电脑每次重启时重新创建文件。

我想避免擦拭笔记本电脑并重新安装所有东西，所以这就是为什么我在这里。我研究了文件路径和cryptonight，发现cryptonight是/可以是恶意代码，可以在某人计算机的后台运行以挖掘cryptocurrency。我一直在监视我的CPU使用率，内存和网络，还没有看到一个奇怪的进程在运行。我的CPU运行在30％以下，我的RAM通常在5GB以下（已安装16GB），并且我的网络没有任何进程发送/接收大量数据。因此，如果后台正在挖掘某些东西，我完全无法告诉。我不知道该怎么办。

我的Avast每周都会运行完整的系统扫描，因此最近这成了本周的问题。我检查了所有的chrome扩展程序，发现一切正常，除了新的Mac操作系统（macOS High Sierra 10.13.1）以外，上周我没有下载任何特别的东西。因此，老实说，我不知道这是从哪里来的，也不知道如何摆脱它。有人可以帮我吗。

我怀疑这个所谓的“病毒”来自Apple更新，它只是在每次引导/重新引导操作系统时创建并运行的预安装文件。但是我不确定，因为我只有一台MacBook，没有其他人知道我有Mac，因此将操作系统更新为High Sierra。但是Avast一直将其标记为潜在的“ Cryptonight”病毒，并且没有其他在线人发布有关此问题的任何信息。因此，常见的病毒删除论坛对我的情况没有帮助，因为我已经尝试使用Avast，恶意软件字节和手动方式将其删除。

可以肯定的是没有病毒，恶意软件或特洛伊木马在玩，而他全都是高度偶然的假阳性。

这很可能是误报，因为/var/db/uuidtext/它与macOS Sierra（10.2）中引入的新“统一日志记录”子系统有关。如本文所述：

第一个文件路径（/var/db/diagnostics/）包含日志文件。这些文件使用模式后面的时间戳文件名命名logdata.Persistent.YYYYMMDDTHHMMSS.tracev3。这些文件是二进制文件，我们必须在macOS上使用新的实用程序来解析它们。此目录还包含一些其他文件，包括其他日志* .tracev3文件以及其他包含日志记录元数据的文件。第二个文件路径（/var/db/uuidtext/）包含主* .tracev3日志文件中引用的文件。

但是在您的情况下，“魔术”似乎来自哈希：

BC8EE8D09234D99DD8B85A99E46C64

只需查看此参考，即可找到引用该特定哈希的已知Windows恶意软件文件。恭喜你！您的Mac神奇地创建了一个文件名，该文件名与Windows系统上主要见过的已知向量相匹配。但是，您在Mac上，该文件名只是连接到“ Unified Logging”数据库系统文件结构的哈希。完全巧合的是，它与该恶意软件的文件名匹配，并且不代表任何含义。

特定文件似乎重新生成的原因是基于以上说明的详细信息：

第二个文件路径（/var/db/uuidtext/）包含主* .tracev3日志文件中引用的文件。

因此，您删除中的文件/var/db/uuidtext/，但这只是对其中文件的引用/var/db/diagnostics/。因此，当您重新启动时，它会丢失并在中重新创建它/var/db/uuidtext/。

至于现在该怎么办？好吧，您可以容忍Avast警报，也可以下载缓存清除工具（例如Onyx），并通过从系统中真正清除日志来强制重新创建日志。不只是一个BC8EE8D09234D99DD8B85A99E46C64文件。希望在完全清除后重新生成的文件的哈希名称不会意外匹配已知的恶意软件文件。

更新1：看来Avast的工作人员在其论坛的帖子中承认了这个问题：

我可以确认这是一个误报。superuser.com帖子很好地描述了该问题-MacOS似乎意外创建了一个文件，其中包含恶意加密货币矿工的片段，而这些片段也恰巧触发了我们的检测之一。

现在，该语句的真正奇怪之处在于：“ …MacOS似乎意外创建了一个包含恶意加密货币矿工片段的文件。”

什么？这是否意味着苹果核心macOS软件开发团队中的某人以某种方式“意外地”设置了系统，以便它生成已知恶意加密货币矿工的绝杀片段？有人直接联系过苹果吗？这一切似乎有点疯狂。

更新2：Radast Brich在Avast论坛上进一步解释了此问题，因为Avast可以自我识别：

您好，我将添加更多信息。

该文件是由MacOS系统创建的，实际上是“ cpu用法”诊断报告的一部分。之所以创建该报告，是因为Avast在扫描过程中大量使用了CPU。

UUID（7BBC8EE8-D092-34D9-9DD8-B85A99E46C64）标识一个库，该库是Avast检测数据库（algo.so）的一部分。该文件的内容是从库中提取的调试信息。不幸的是，它似乎包含一个字符串，Avast将其检测为恶意软件。

（“粗鲁的”文本可能只是恶意软件的名称。）