Avast trên macOS High Sierra tuyên bố họ đã bắt được vi-rút Cryptonight 'chỉ có Windows

Hôm qua tôi đã chạy quét toàn bộ hệ thống bằng phần mềm chống vi-rút Avast của mình và nó đã tìm thấy tệp lây nhiễm. Vị trí của tệp là:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast phân loại tệp lây nhiễm là:

JS:Cryptonight [Trj]

Vì vậy, sau khi xóa tệp, tôi đã thực hiện quét toàn bộ hệ thống đầy đủ hơn để kiểm tra xem có tệp nào nữa không. Tôi không tìm thấy gì, cho đến khi tôi khởi động lại macbook pro của tôi ngày hôm nay. Các tập tin xuất hiện trở lại trong cùng một vị trí. Vì vậy, tôi quyết định để Avast đặt nó vào rương virus, khởi động lại máy tính xách tay và một lần nữa tập tin lại ở cùng một vị trí. Do đó, virus đang tạo lại tập tin mỗi lần khởi động lại máy tính xách tay.

Tôi muốn tránh lau máy tính xách tay và cài đặt lại mọi thứ, vì vậy đó là lý do tại sao tôi ở đây. Tôi đã nghiên cứu đường dẫn tệp và cryptonight và phát hiện ra rằng cryptonight là / có thể là mã độc hại có thể chạy trong nền máy tính của ai đó để khai thác tiền điện tử. Tôi đã theo dõi việc sử dụng CPU, Bộ nhớ và Mạng của tôi và tôi chưa thấy một quy trình lẻ nào đang chạy. CPU của tôi đang chạy dưới 30%, RAM của tôi thường dưới 5 GB (đã cài đặt 16 GB) và mạng của tôi chưa có bất kỳ quá trình nào gửi / nhận lượng dữ liệu lớn. Vì vậy, nếu một cái gì đó đang khai thác trong nền, tôi không thể nói gì cả. Tôi không có ý tưởng làm gì.

Avast của tôi chạy quét toàn bộ hệ thống mỗi tuần, vì vậy điều này gần đây đã trở thành một vấn đề trong tuần này. Tôi đã kiểm tra tất cả các tiện ích mở rộng chrome của mình và không có gì bị lỗi, tôi chưa tải xuống bất cứ thứ gì đặc biệt trong tuần qua, ngoài hệ điều hành Mac mới (macOS High Sierra 10.13.1). Vì vậy, tôi không có manh mối nơi mà điều này xuất phát để thành thật và tôi không biết làm thế nào để thoát khỏi nó. Ai đó làm ơn giúp tôi với.

Tôi nghi ngờ rằng virus virut này được cho là có nguồn gốc từ bản cập nhật của Apple và nó chỉ là một tệp được cài đặt sẵn được tạo và chạy mỗi khi HĐH được khởi động / khởi động lại. Nhưng tôi không chắc vì tôi chỉ có một MacBook và không ai khác mà tôi biết rằng có mac đã cập nhật HĐH lên High Sierra. Nhưng Avast tiếp tục dán nhãn này là vi rút tiềm năng của Cry Cryptonight và không ai khác trực tuyến đã đăng bất cứ điều gì về vấn đề này. Do đó, một diễn đàn loại bỏ vi rút phổ biến không hữu ích trong tình huống của tôi, vì tôi đã cố gắng loại bỏ nó bằng cả Avast, malwarebytes và thủ công.

Khá chắc chắn rằng không có virus, phần mềm độc hại hoặc trojan khi chơi và tất cả đều là dương tính giả rất trùng hợp.

Rất có thể đó là một dương tính giả vì /var/db/uuidtext/có liên quan đến hệ thống con Nhật ký hợp nhất mới của Nhật ký đã được giới thiệu trong macOS Sierra (10.2). Như bài viết này giải thích :

Đường dẫn tệp đầu tiên ( /var/db/diagnostics/) chứa các tệp nhật ký. Các tệp này được đặt tên với tên tệp dấu thời gian theo mẫu logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Các tệp này là các tệp nhị phân mà chúng ta sẽ phải sử dụng một tiện ích mới trên macOS để phân tích chúng. Thư mục này chứa một số tệp khác cũng bao gồm các tệp nhật ký * .tracev3 bổ sung và các tệp khác có chứa siêu dữ liệu ghi nhật ký. Đường dẫn tệp thứ hai ( /var/db/uuidtext/) chứa các tệp là các tham chiếu trong tệp nhật ký chính * .tracev3.

Nhưng trong trường hợp của bạn, ma thuật của người Viking dường như đến từ hàm băm:

BC8EE8D09234D99DD8B85A99E46C64

Chỉ cần xem tham chiếu này để biết các tệp phần mềm độc hại Windows đã biết tham chiếu một hàm băm cụ thể. Xin chúc mừng! Máy Mac của bạn đã tạo ra một tên tệp phù hợp với một vectơ đã biết chủ yếu được thấy trên các hệ thống Windows. Nhưng bạn đang ở trên máy Mac và tên tệp này chỉ là một hàm băm được kết nối với cấu trúc tệp của hệ thống cơ sở dữ liệu Nhật ký Unified Logging. hoàn toàn ngẫu nhiên rằng nó phù hợp với tên tệp phần mềm độc hại đó và không có nghĩa gì cả.

Và lý do mà tập tin cụ thể dường như được tạo lại dựa trên chi tiết này từ lời giải thích ở trên:

Đường dẫn tệp thứ hai ( /var/db/uuidtext/) chứa các tệp là các tham chiếu trong tệp nhật ký chính * .tracev3.

Vì vậy, bạn xóa các tập tin trong /var/db/uuidtext/, nhưng tất cả nó là một tài liệu tham khảo cho những gì trong /var/db/diagnostics/. Vì vậy, khi bạn khởi động lại, nó thấy nó bị thiếu và tạo lại nó trong /var/db/uuidtext/.

Để làm gì bây giờ? Chà, bạn có thể chấp nhận các cảnh báo Avast hoặc bạn có thể tải xuống một công cụ dọn dẹp bộ đệm như Onyx và chỉ buộc các bản ghi được tạo lại bằng cách thực sự xóa chúng khỏi hệ thống của bạn; không chỉ một BC8EE8D09234D99DD8B85A99E46C64tập tin. Hy vọng rằng tên băm của các tệp mà nó tạo lại sau khi làm sạch hoàn toàn sẽ không vô tình khớp với tệp phần mềm độc hại đã biết một lần nữa.

CẬP NHẬT 1 : Có vẻ như nhân viên Avast thừa nhận vấn đề trong bài đăng này trên diễn đàn của họ :

Tôi có thể xác nhận đây là một dương tính giả. Bài đăng superuser.com mô tả vấn đề khá tốt - MacOS dường như đã vô tình tạo ra một tệp chứa các đoạn khai thác tiền điện tử độc hại cũng xảy ra để kích hoạt một trong những phát hiện của chúng tôi.

Bây giờ, điều thực sự kỳ lạ về tuyên bố này là cụm từ, dường như đã vô tình tạo ra một tập tin có chứa các đoạn khai thác tiền điện tử độc hại. Giáo dục

Gì? Có phải điều này ngụ ý rằng ai đó trong nhóm phát triển phần mềm macOS cốt lõi tại Apple bằng cách nào đó đã vô tình thiết lập hệ thống để nó tạo ra các đoạn trung tính của một công cụ khai thác tiền điện tử độc hại đã biết? Có ai đã liên hệ trực tiếp với Apple về điều này? Tất cả điều này có vẻ hơi điên rồ.

CẬP NHẬT 2 : Vấn đề này được giải thích thêm bởi một người nào đó Radek Brich các diễn đàn Avast chỉ đơn giản là Avast tự nhận dạng chính nó:

Xin chào, tôi sẽ chỉ thêm một chút thông tin.

Tệp được tạo bởi hệ thống MacOS, đây thực sự là một phần của báo cáo chẩn đoán "sử dụng cpu". Báo cáo được tạo vì Avast sử dụng CPU rất nhiều trong quá trình quét.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) xác định một thư viện là một phần của DB phát hiện Avast (algo.so). Nội dung của tệp là thông tin gỡ lỗi được trích xuất từ ​​thư viện. Thật không may, điều này dường như chứa một chuỗi được Avast phát hiện là phần mềm độc hại.

(Các văn bản "thô lỗ" có lẽ chỉ là tên của phần mềm độc hại.)