macOS High Sierra上的Avast声称它已经捕获了仅Windows的“ Cryptonight”病毒


39

昨天,我使用Avast防病毒软件运行了完整的系统扫描,结果发现感染文件。该文件的位置是:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast将感染文件归类为:

JS:Cryptonight [Trj]

因此,删除文件后,我又进行了几次完整的系统扫描,以检查是否还有其他文件。我什么都没找到,直到今天重新启动了Macbook Pro。该文件重新出现在同一位置。因此,我决定让Av​​ast将其放入病毒箱,重新启动笔记本电脑,然后文件再次位于同一位置。因此,病毒会在笔记本电脑每次重启时重新创建文件。

我想避免擦拭笔记本电脑并重新安装所有东西,所以这就是为什么我在这里。我研究了文件路径和cryptonight,发现cryptonight是/可以是恶意代码,可以在某人计算机的后台运行以挖掘cryptocurrency。我一直在监视我的CPU使用率,内存和网络,还没有看到一个奇怪的进程在运行。我的CPU运行在30%以下,我的RAM通常在5GB以下(已安装16GB),并且我的网络没有任何进程发送/接收大量数据。因此,如果后台正在挖掘某些东西,我完全无法告诉。我不知道该怎么办。

我的Avast每周都会运行完整的系统扫描,因此最近这成了本周的问题。我检查了所有的chrome扩展程序,发现一切正常,除了新的Mac操作系统(macOS High Sierra 10.13.1)以外,上周我没有下载任何特别的东西。因此,老实说,我不知道这是从哪里来的,也不知道如何摆脱它。有人可以帮我吗。

我怀疑这个所谓的“病毒”来自Apple更新,它只是在每次引导/重新引导操作系统时创建并运行的预安装文件。但是我不确定,因为我只有一台MacBook,没有其他人知道我有Mac,因此将操作系统更新为High Sierra。但是Avast一直将其标记为潜在的“ Cryptonight”病毒,并且没有其他在线人发布有关此问题的任何信息。因此,常见的病毒删除论坛对我的情况没有帮助,因为我已经尝试使用Avast,恶意软件字节和手动方式将其删除。


5
这很可能是假阳性。
JakeGould '17

1
这就是我要得出的结论,但是我要保证,这就是事实。
寂寞双胞胎

5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64似乎是个魔术数字!有关详细信息,请参见我的答案
JakeGould

2
@bcrist单独的算法与平台无关,但是我能找到的唯一使用Cryptonight的Mac矿工都不是JavaScript。它们显然都是系统级二进制文件,例如this。对C实现的更多细节在这里这里。如果这纯粹是JavaScript威胁,那么Linux用户也会抱怨。此外,Mac默认情况下具有可怕的视频卡,因此它们使可怕的硬币采矿者成为可能。
JakeGould

3
我已经联系Avast对该文件进行了误报,每当他们与我联系时,我都会发布他们的回复更新。
寂寞双胞胎

Answers:


67

可以肯定的是没有病毒,恶意软件或特洛伊木马在玩,而他全都是高度偶然的假阳性。

这很可能是误报,因为/var/db/uuidtext/它与macOS Sierra(10.2)中引入的新“统一日志记录”子系统有关。如本文所述

第一个文件路径(/var/db/diagnostics/)包含日志文件。这些文件使用模式后面的时间戳文件名命名logdata.Persistent.YYYYMMDDTHHMMSS.tracev3。这些文件是二进制文件,我们必须在macOS上使用新的实用程序来解析它们。此目录还包含一些其他文件,包括其他日志* .tracev3文件以及其他包含日志记录元数据的文件。第二个文件路径(/var/db/uuidtext/)包含主* .tracev3日志文件中引用的文件。

但是在您的情况下,“魔术”似乎来自哈希:

BC8EE8D09234D99DD8B85A99E46C64

只需查看此参考,即可找到引用该特定哈希的已知Windows恶意软件文件。恭喜你!您的Mac神奇地创建了一个文件名,该文件名与Windows系统上主要见过的已知向量相匹配。但是,您在Mac上,该文件名只是连接到“ Unified Logging”数据库系统文件结构的哈希。完全巧合的是,它与该恶意软件的文件名匹配,并且不代表任何含义。

特定文件似乎重新生成的原因是基于以上说明的详细信息:

第二个文件路径(/var/db/uuidtext/)包含主* .tracev3日志文件中引用的文件。

因此,您删除中的文件/var/db/uuidtext/,但这只是对其中文件的引用/var/db/diagnostics/。因此,当您重新启动时,它会丢失并在中重新创建它/var/db/uuidtext/

至于现在该怎么办?好吧,您可以容忍Avast警报,也可以下载缓存清除工具(例如Onyx),并通过从系统中真正清除日志来强制重新创建日志。不只是一个BC8EE8D09234D99DD8B85A99E46C64文件。希望在完全清除后重新生成的文件的哈希名称不会意外匹配已知的恶意软件文件。


更新1:看来Avast的工作人员在其论坛的帖子中承认了这个问题:

我可以确认这是一个误报。superuser.com帖子很好地描述了该问题-MacOS似乎意外创建了一个文件,其中包含恶意加密货币矿工的片段,而这些片段也恰巧触发了我们的检测之一。

现在,该语句的真正奇怪之处在于:“ …MacOS似乎意外创建了一个包含恶意加密货币矿工片段的文件。

什么?这是否意味着苹果核心macOS软件开发团队中的某人以某种方式“意外地”设置了系统,以便它生成已知恶意加密货币矿工的绝杀片段?有人直接联系过苹果吗?这一切似乎有点疯狂。


更新2Radast Brich在Avast论坛上进一步解释了此问题,因为Avast可以自我识别:

您好,我将添加更多信息。

该文件是由MacOS系统创建的,实际上是“ cpu用法”诊断报告的一部分。之所以创建该报告,是因为Avast在扫描过程中大量使用了CPU。

UUID(7BBC8EE8-D092-34D9-9DD8-B85A99E46C64)标识一个库,该库是Avast检测数据库(algo.so)的一部分。该文件的内容是从库中提取的调试信息。不幸的是,它似乎包含一个字符串,Avast将其检测为恶意软件。

(“粗鲁的”文本可能只是恶意软件的名称。)


4
谢谢您的解释,您确实是救世主。也很好解释。
寂寞双胞胎

16
哇。与此相关的是,您应该购买彩票!这种“运气”不应该“一生一次”,而应该“在宇宙的整个生命中,从大爆炸到热死都一次”。
Cort Ammon's

14
等等什么 那是什么哈希算法?如果它甚至是一个古老的密码,我们就相当于随机地解决了第二次图像前攻击,应该得到更多的认可。
约书亚

3
@Joshua也许苹果工程师是恶意软件的贡献者,并且让一些哈希生成代码渗入了他们的“日常工作”代码中?那不是脑中的一踢!
JakeGould '17

6
@JohnDvorak完整路径为/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64,因此文件名可能只是128位哈希的最后120位(前8位是7B)。这并不一定意味着它是一个加密哈希,但是长度确实与MD5匹配。
马修·
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.