Avast trên macOS High Sierra tuyên bố họ đã bắt được vi-rút Cryptonight 'chỉ có Windows


39

Hôm qua tôi đã chạy quét toàn bộ hệ thống bằng phần mềm chống vi-rút Avast của mình và nó đã tìm thấy tệp lây nhiễm. Vị trí của tệp là:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast phân loại tệp lây nhiễm là:

JS:Cryptonight [Trj]

Vì vậy, sau khi xóa tệp, tôi đã thực hiện quét toàn bộ hệ thống đầy đủ hơn để kiểm tra xem có tệp nào nữa không. Tôi không tìm thấy gì, cho đến khi tôi khởi động lại macbook pro của tôi ngày hôm nay. Các tập tin xuất hiện trở lại trong cùng một vị trí. Vì vậy, tôi quyết định để Avast đặt nó vào rương virus, khởi động lại máy tính xách tay và một lần nữa tập tin lại ở cùng một vị trí. Do đó, virus đang tạo lại tập tin mỗi lần khởi động lại máy tính xách tay.

Tôi muốn tránh lau máy tính xách tay và cài đặt lại mọi thứ, vì vậy đó là lý do tại sao tôi ở đây. Tôi đã nghiên cứu đường dẫn tệp và cryptonight và phát hiện ra rằng cryptonight là / có thể là mã độc hại có thể chạy trong nền máy tính của ai đó để khai thác tiền điện tử. Tôi đã theo dõi việc sử dụng CPU, Bộ nhớ và Mạng của tôi và tôi chưa thấy một quy trình lẻ nào đang chạy. CPU của tôi đang chạy dưới 30%, RAM của tôi thường dưới 5 GB (đã cài đặt 16 GB) và mạng của tôi chưa có bất kỳ quá trình nào gửi / nhận lượng dữ liệu lớn. Vì vậy, nếu một cái gì đó đang khai thác trong nền, tôi không thể nói gì cả. Tôi không có ý tưởng làm gì.

Avast của tôi chạy quét toàn bộ hệ thống mỗi tuần, vì vậy điều này gần đây đã trở thành một vấn đề trong tuần này. Tôi đã kiểm tra tất cả các tiện ích mở rộng chrome của mình và không có gì bị lỗi, tôi chưa tải xuống bất cứ thứ gì đặc biệt trong tuần qua, ngoài hệ điều hành Mac mới (macOS High Sierra 10.13.1). Vì vậy, tôi không có manh mối nơi mà điều này xuất phát để thành thật và tôi không biết làm thế nào để thoát khỏi nó. Ai đó làm ơn giúp tôi với.

Tôi nghi ngờ rằng virus virut này được cho là có nguồn gốc từ bản cập nhật của Apple và nó chỉ là một tệp được cài đặt sẵn được tạo và chạy mỗi khi HĐH được khởi động / khởi động lại. Nhưng tôi không chắc vì tôi chỉ có một MacBook và không ai khác mà tôi biết rằng có mac đã cập nhật HĐH lên High Sierra. Nhưng Avast tiếp tục dán nhãn này là vi rút tiềm năng của Cry Cryptonight và không ai khác trực tuyến đã đăng bất cứ điều gì về vấn đề này. Do đó, một diễn đàn loại bỏ vi rút phổ biến không hữu ích trong tình huống của tôi, vì tôi đã cố gắng loại bỏ nó bằng cả Avast, malwarebytes và thủ công.


5
Rất có thể đó là một dương tính giả.
JakeGould

1
Đó là những gì tôi đang đi đến kết luận, nhưng tôi muốn trấn an vì vậy đó là những gì nó được.
Cô đơn Twinky

5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64Có vẻ là một con số kỳ diệu! Xem câu trả lời của tôi để biết chi tiết .
JakeGould

2
@bcrist Thuật toán một mình là nền tảng bất khả tri, nhưng các công cụ khai thác Mac duy nhất tôi có thể thấy rằng sử dụng Cryptonight không phải là JavaScript; tất cả chúng đều là các nhị phân cấp hệ thống rõ ràng như cái này . Thêm chi tiết về việc triển khai C tại đâytại đây . Nếu đây hoàn toàn là một mối đe dọa JavaScript, thì người dùng Linux cũng sẽ phàn nàn. Bên cạnh đó, máy Mac có thẻ video khủng khiếp theo mặc định để họ tạo ra các công cụ khai thác tiền tệ khủng khiếp.
JakeGould

3
Tôi đã liên hệ với Avast về việc tệp này là dương tính giả, tôi sẽ đăng cập nhật về phản hồi của họ mỗi khi họ liên hệ lại với tôi.
Cô đơn Twinky

Câu trả lời:


67

Khá chắc chắn rằng không có virus, phần mềm độc hại hoặc trojan khi chơi và tất cả đều là dương tính giả rất trùng hợp.

Rất có thể đó là một dương tính giả vì /var/db/uuidtext/có liên quan đến hệ thống con Nhật ký hợp nhất mới của Nhật ký đã được giới thiệu trong macOS Sierra (10.2). Như bài viết này giải thích :

Đường dẫn tệp đầu tiên ( /var/db/diagnostics/) chứa các tệp nhật ký. Các tệp này được đặt tên với tên tệp dấu thời gian theo mẫu logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Các tệp này là các tệp nhị phân mà chúng ta sẽ phải sử dụng một tiện ích mới trên macOS để phân tích chúng. Thư mục này chứa một số tệp khác cũng bao gồm các tệp nhật ký * .tracev3 bổ sung và các tệp khác có chứa siêu dữ liệu ghi nhật ký. Đường dẫn tệp thứ hai ( /var/db/uuidtext/) chứa các tệp là các tham chiếu trong tệp nhật ký chính * .tracev3.

Nhưng trong trường hợp của bạn, ma thuật của người Viking dường như đến từ hàm băm:

BC8EE8D09234D99DD8B85A99E46C64

Chỉ cần xem tham chiếu này để biết các tệp phần mềm độc hại Windows đã biết tham chiếu một hàm băm cụ thể. Xin chúc mừng! Máy Mac của bạn đã tạo ra một tên tệp phù hợp với một vectơ đã biết chủ yếu được thấy trên các hệ thống Windows. Nhưng bạn đang ở trên máy Mac và tên tệp này chỉ là một hàm băm được kết nối với cấu trúc tệp của hệ thống cơ sở dữ liệu Nhật ký Unified Logging. hoàn toàn ngẫu nhiên rằng nó phù hợp với tên tệp phần mềm độc hại đó và không có nghĩa gì cả.

Và lý do mà tập tin cụ thể dường như được tạo lại dựa trên chi tiết này từ lời giải thích ở trên:

Đường dẫn tệp thứ hai ( /var/db/uuidtext/) chứa các tệp là các tham chiếu trong tệp nhật ký chính * .tracev3.

Vì vậy, bạn xóa các tập tin trong /var/db/uuidtext/, nhưng tất cả nó là một tài liệu tham khảo cho những gì trong /var/db/diagnostics/. Vì vậy, khi bạn khởi động lại, nó thấy nó bị thiếu và tạo lại nó trong /var/db/uuidtext/.

Để làm gì bây giờ? Chà, bạn có thể chấp nhận các cảnh báo Avast hoặc bạn có thể tải xuống một công cụ dọn dẹp bộ đệm như Onyx và chỉ buộc các bản ghi được tạo lại bằng cách thực sự xóa chúng khỏi hệ thống của bạn; không chỉ một BC8EE8D09234D99DD8B85A99E46C64tập tin. Hy vọng rằng tên băm của các tệp mà nó tạo lại sau khi làm sạch hoàn toàn sẽ không vô tình khớp với tệp phần mềm độc hại đã biết một lần nữa.


CẬP NHẬT 1 : Có vẻ như nhân viên Avast thừa nhận vấn đề trong bài đăng này trên diễn đàn của họ :

Tôi có thể xác nhận đây là một dương tính giả. Bài đăng superuser.com mô tả vấn đề khá tốt - MacOS dường như đã vô tình tạo ra một tệp chứa các đoạn khai thác tiền điện tử độc hại cũng xảy ra để kích hoạt một trong những phát hiện của chúng tôi.

Bây giờ, điều thực sự kỳ lạ về tuyên bố này là cụm từ, dường như đã vô tình tạo ra một tập tin có chứa các đoạn khai thác tiền điện tử độc hại. Giáo dục

Gì? Có phải điều này ngụ ý rằng ai đó trong nhóm phát triển phần mềm macOS cốt lõi tại Apple bằng cách nào đó đã vô tình thiết lập hệ thống để nó tạo ra các đoạn trung tính của một công cụ khai thác tiền điện tử độc hại đã biết? Có ai đã liên hệ trực tiếp với Apple về điều này? Tất cả điều này có vẻ hơi điên rồ.


CẬP NHẬT 2 : Vấn đề này được giải thích thêm bởi một người nào đó Radek Brich các diễn đàn Avast chỉ đơn giản là Avast tự nhận dạng chính nó:

Xin chào, tôi sẽ chỉ thêm một chút thông tin.

Tệp được tạo bởi hệ thống MacOS, đây thực sự là một phần của báo cáo chẩn đoán "sử dụng cpu". Báo cáo được tạo vì Avast sử dụng CPU rất nhiều trong quá trình quét.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) xác định một thư viện là một phần của DB phát hiện Avast (algo.so). Nội dung của tệp là thông tin gỡ lỗi được trích xuất từ ​​thư viện. Thật không may, điều này dường như chứa một chuỗi được Avast phát hiện là phần mềm độc hại.

(Các văn bản "thô lỗ" có lẽ chỉ là tên của phần mềm độc hại.)


4
Cảm ơn bạn đã giải thích, bạn thực sự là một vị cứu tinh. Giải thích rất tốt quá.
Cô đơn Twinky

16
Ồ Trên một lưu ý liên quan, bạn nên đầu tư vào một vé xổ số! Loại "may mắn" đó không được coi là "một lần trong đời", nó được cho là "một lần trong toàn bộ vòng đời của vũ trụ, từ vụ nổ lớn đến cái chết nóng".
Cort Ammon

14
Đợi cái gì? Thuật toán băm đó là gì? Nếu nó thậm chí là một mật mã cũ, chúng ta có khả năng giải quyết ngẫu nhiên một cuộc tấn công tiền ảnh thứ hai và xứng đáng được công nhận hơn rất nhiều.
Joshua

3
@Joshua Có lẽ một kỹ sư của Apple là người đóng góp cho phần mềm độc hại và để một số mã thế hệ băm lọt vào mã công việc trong ngày của họ? Đó sẽ không phải là một cú đá vào đầu!
JakeGould

6
@JohnDvorak Đường dẫn đầy đủ là /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, vì vậy tên tệp có thể chỉ là 120 bit cuối cùng của hàm băm 128 bit (8 bit đầu tiên 7B). Điều đó không nhất thiết có nghĩa là nó là một hàm băm mật mã, nhưng độ dài không khớp với MD5.
Matthew Crumley
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.