it-swarm.it

Avast su macOS High Sierra afferma di aver catturato il virus "Cryptonight" solo per Windows

Ieri ho eseguito una scansione completa del sistema utilizzando il mio software antivirus Avast e ho trovato un file di infezione. La posizione del file è:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast classifica il file di infezione come:

JS:Cryptonight [Trj]

Quindi, dopo aver cancellato il file, ho fatto diverse altre scansioni complete del sistema per verificare se ci fossero altri file. Non ho trovato nulla, fino a quando non ho riavviato il mio MacBook Pro oggi. Il file è riapparso nella stessa posizione. Così ho deciso di lasciare che Avast mettesse il virus nella cassa del virus, riavviato il portatile e di nuovo il file si trovava nella stessa posizione. Pertanto il virus sta ricreando il file ogni riavvio del laptop.

Voglio evitare di cancellare il portatile e reinstallare tutto, quindi è per questo che sono qui. Ho ricercato il percorso dei file e la cryptonight e ho scoperto che cryptonight è/può essere codice dannoso che può essere eseguito sullo sfondo del computer di qualcuno per estrarre la criptovaluta. Ho monitorato l'utilizzo della CPU, la memoria e la rete e non ho visto un singolo processo dispari in esecuzione. La mia CPU funziona al di sotto del 30%, il mio RAM è generalmente inferiore a 5 GB (installato 16 GB) e la mia rete non ha avuto processi che inviano/ricevono grandi quantità di dati. Quindi se qualcosa sta facendo un mining in background, non posso dirlo affatto. Non ho idea di cosa fare.

My Avast esegue scansioni complete del sistema ogni settimana, quindi questo è diventato di recente un problema questa settimana. Ho controllato tutte le mie estensioni di Chrome e nulla è fuori uso, non ho scaricato nulla di speciale nell'ultima settimana, oltre al nuovo sistema operativo Mac (macOS High Sierra 10.13.1). Quindi non ho idea di dove sia venuto a essere onesto e non ho idea di come sbarazzarmene. Qualcuno può aiutarmi, per favore.

Sospetto che questo presunto "virus" provenga dall'aggiornamento di Apple e che sia solo un file preinstallato che viene creato ed eseguito ogni volta che il sistema operativo viene avviato/riavviato. Ma non sono sicuro poiché ho solo un MacBook e nessun altro che conosco che ha un Mac che ha aggiornato il sistema operativo a High Sierra. Ma Avast continua a etichettarlo come un potenziale virus "Cryptonight" e nessun altro online ha pubblicato qualcosa su questo problema. Pertanto, un forum di rimozione virus comune non è utile nella mia situazione, dal momento che ho già provato a rimuoverlo sia con Avast, malwarebytes, sia manualmente.

39
Lonely Twinky

Abbastanza sicuro che non ci siano virus, malware o trojan in gioco e il suo è un falso positivo altamente casuale.

È molto probabilmente un falso positivo poiché /var/db/uuidtext/ è correlato al nuovo sottosistema "Unified Logging" introdotto in macOS Sierra (10.2). Come questo articolo spiega :

Il primo percorso file (/var/db/diagnostics/) contiene i file di registro. Questi file sono denominati con un nome di file di timestamp che segue il pattern logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Questi file sono file binari che dovremo usare una nuova utility su macOS per analizzarli. Questa directory contiene anche altri file, inclusi file di registro * .tracev3 e altri che contengono metadati di registrazione. Il secondo percorso file (/var/db/uuidtext/) contiene file che sono riferimenti nei file di registro * .tracev3 principali.

Ma nel tuo caso la "magia" sembra provenire dall'hash:

BC8EE8D09234D99DD8B85A99E46C64

Basta controllare questo riferimento per i noti file malware di Windows che fa riferimento a un hash specifico. Congratulazioni! Il tuo Mac ha magicamente creato un nome file che corrisponde a un vettore conosciuto che è stato visto principalmente sui sistemi Windows ... Ma tu sei su un Mac e questo nome file è solo un hash che è connesso alla struttura file del sistema di database "Unified Logging" ed è completamente coincidente che corrisponde a quel nome di file del malware e non dovrebbe significare nulla.

E la ragione per cui il file specifico sembra rigenerarsi si basa su questo dettaglio dalla spiegazione sopra:

Il secondo percorso file (/var/db/uuidtext/) contiene file che sono riferimenti nei file di registro * .tracev3 principali.

Quindi elimini il file in /var/db/uuidtext/, ma tutto ciò che è è un riferimento a ciò che è in /var/db/diagnostics/. Quindi quando si riavvia, vede che manca e lo ricrea in /var/db/uuidtext/.

Per quanto riguarda cosa fare ora? Bene, puoi tollerare gli avvisi Avast o puoi scaricare uno strumento di pulizia della cache come Onyx e forzare semplicemente i log a essere ricreati eliminandoli dal tuo sistema; non solo quel file BC8EE8D09234D99DD8B85A99E46C64. Si spera che i nomi hash dei file che si rigenera dopo una pulizia completa non accidentalmente corrispondano di nuovo a un file malware noto.


UPDATE 1 : Sembra che lo staff di Avast riconosca il problema in questo post sui loro forum :

Posso confermare che questo è un falso positivo. Il post di superuser.com descrive abbastanza bene il problema: MacOS sembra aver accidentalmente creato un file che contiene frammenti di minatore di criptovaluta malizioso, il che può causare anche uno dei nostri rilevamenti.

Ora, ciò che è veramente strano in questa affermazione è la frase " ... MacOS sembra aver accidentalmente creato un file che contiene frammenti di minatore di criptovaluta malevolo.

Che cosa? Questo significa che qualcuno del team di sviluppo del software macOS di Apple in qualche modo "accidentalmente" ha configurato il sistema in modo da generare frammenti castrati di un noto minatore di criptovaluta malevola? Qualcuno ha contattato direttamente Apple al riguardo? Sembra tutto un po 'pazzo.


UPDATE 2 : Questo problema è ulteriormente spiegato da qualcuno di Radek Brich nei forum di Avast semplicemente come auto-identificazione di Avast:

Ciao, aggiungerò un po 'di informazioni in più.

Il file è stato creato dal sistema MacOS, è in realtà parte del report diagnostico di "utilizzo della CPU". Il report viene creato perché Avast utilizza pesantemente la CPU durante la scansione.

L'UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifica una libreria che è una parte del DB di Avast Detection (algo.so). Il contenuto del file è il debug delle informazioni estratte dalla libreria. Sfortunatamente, questo sembra contenere una stringa che viene rilevata da Avast come malware.

(I testi "maleducati" sono probabilmente solo nomi di malware.)

67
JakeGould