macOS High Sierra 上的 Avast 声称已捕获仅限 Windows 的“Cryptonight”病毒

Question

非常确定没有病毒、恶意软件或木马在起作用，这全都是高度巧合的误报。

这很可能是误报，因为/var/db/uuidtext/它与 macOS Sierra (10.2) 中引入的新“统一日志记录”子系统有关。这篇文章解释：

第一个文件路径 ( /var/db/diagnostics/) 包含日志文件。这些文件以遵循模式的时间戳文件名命名logdata.Persistent.YYYYMMDDTHHMMSS.tracev3。这些文件是二进制文件，我们必须使用 macOS 上的新实用程序来解析它们。此目录还包含一些其他文件，包括附加日志 *.tracev3 文件和其他包含日志元数据的文件。第二个文件路径 ( /var/db/uuidtext/) 包含主 *.tracev3 日志文件中引用的文件。

但在您的情况下，“魔法”似乎来自于哈希：

BC8EE8D09234D99DD8B85A99E46C64

只需查看此参考资料已知的 Windows 恶意软件文件引用一个特定的哈希值。恭喜你！你的 Mac 神奇地创建了一个文件名，该文件名与 Windows 系统上主要出现的已知向量相匹配……但你使用的是 Mac，而这个文件名只是一个与“统一日志”数据库系统的文件结构相连的哈希值，它与恶意软件文件名相匹配完全是巧合，不应该意味着什么。

并且特定文件似乎重新生成的原因是基于上述解释中的这个细节：

第二个文件路径（/var/db/uuidtext/）包含主 *.tracev3 日志文件中引用的文件。

因此，您删除了中的文件/var/db/uuidtext/，但它只是中内容的引用/var/db/diagnostics/。因此，当您重新启动时，它会发现它已丢失并在中重新创建它/var/db/uuidtext/。

那么现在该怎么办？好吧，你可以忍受 Avast 警报，也可以下载缓存清理工具，例如 Onyx并通过真正从系统中清除日志来强制重新创建日志；而不仅仅是那个BC8EE8D09234D99DD8B85A99E46C64文件。希望在完全清除后重新生成的文件的哈希名称不会意外地再次与已知的恶意软件文件匹配。

更新 1：Avast 员工似乎承认了这个问题在他们论坛上的这篇文章中：

我可以确认这是误报。superuser.com 的帖子很好地描述了这个问题 - MacOS 似乎意外创建了一个包含恶意加密货币挖矿程序片段的文件，而这恰好触发了我们的一个检测。

现在，这句话真正奇怪的是这句话，“...MacOS 似乎意外创建了一个包含恶意加密货币矿工碎片的文件。”

什么？这是否意味着苹果公司 macOS 核心软件开发团队的某个人以某种方式“意外”设置了系统，使其生成已知恶意加密货币挖矿程序的阉割片段？有人就此事直接联系过苹果吗？这一切似乎有点疯狂。

更新2：这个问题是有人在 Avast 论坛上进一步解释了 Radek BrichAvast 的自我标识如下：

您好，我只想补充一些信息。

该文件由 MacOS 系统创建，实际上是“CPU 使用率”诊断报告的一部分。创建该报告是因为 Avast 在扫描过程中大量使用 CPU。

UUID（7BBC8EE8-D092-34D9-9DD8-B85A99E46C64）标识了属于 Avast 检测数据库（algo.so）的库。文件内容是从库中提取的调试信息。不幸的是，这似乎包含一个字符串，而 Avast 将其检测为恶意软件。

（“粗鲁”的文字可能只是恶意软件的名称。）

Answer 1

非常确定没有病毒、恶意软件或木马在起作用，这全都是高度巧合的误报。

这很可能是误报，因为/var/db/uuidtext/它与 macOS Sierra (10.2) 中引入的新“统一日志记录”子系统有关。这篇文章解释：

第一个文件路径 ( /var/db/diagnostics/) 包含日志文件。这些文件以遵循模式的时间戳文件名命名logdata.Persistent.YYYYMMDDTHHMMSS.tracev3。这些文件是二进制文件，我们必须使用 macOS 上的新实用程序来解析它们。此目录还包含一些其他文件，包括附加日志 *.tracev3 文件和其他包含日志元数据的文件。第二个文件路径 ( /var/db/uuidtext/) 包含主 *.tracev3 日志文件中引用的文件。

但在您的情况下，“魔法”似乎来自于哈希：

BC8EE8D09234D99DD8B85A99E46C64

只需查看此参考资料已知的 Windows 恶意软件文件引用一个特定的哈希值。恭喜你！你的 Mac 神奇地创建了一个文件名，该文件名与 Windows 系统上主要出现的已知向量相匹配……但你使用的是 Mac，而这个文件名只是一个与“统一日志”数据库系统的文件结构相连的哈希值，它与恶意软件文件名相匹配完全是巧合，不应该意味着什么。

并且特定文件似乎重新生成的原因是基于上述解释中的这个细节：

第二个文件路径（/var/db/uuidtext/）包含主 *.tracev3 日志文件中引用的文件。

因此，您删除了中的文件/var/db/uuidtext/，但它只是中内容的引用/var/db/diagnostics/。因此，当您重新启动时，它会发现它已丢失并在中重新创建它/var/db/uuidtext/。

那么现在该怎么办？好吧，你可以忍受 Avast 警报，也可以下载缓存清理工具，例如 Onyx并通过真正从系统中清除日志来强制重新创建日志；而不仅仅是那个BC8EE8D09234D99DD8B85A99E46C64文件。希望在完全清除后重新生成的文件的哈希名称不会意外地再次与已知的恶意软件文件匹配。

更新 1：Avast 员工似乎承认了这个问题在他们论坛上的这篇文章中：

我可以确认这是误报。superuser.com 的帖子很好地描述了这个问题 - MacOS 似乎意外创建了一个包含恶意加密货币挖矿程序片段的文件，而这恰好触发了我们的一个检测。

现在，这句话真正奇怪的是这句话，“...MacOS 似乎意外创建了一个包含恶意加密货币矿工碎片的文件。”

什么？这是否意味着苹果公司 macOS 核心软件开发团队的某个人以某种方式“意外”设置了系统，使其生成已知恶意加密货币挖矿程序的阉割片段？有人就此事直接联系过苹果吗？这一切似乎有点疯狂。

更新2：这个问题是有人在 Avast 论坛上进一步解释了 Radek BrichAvast 的自我标识如下：

您好，我只想补充一些信息。

该文件由 MacOS 系统创建，实际上是“CPU 使用率”诊断报告的一部分。创建该报告是因为 Avast 在扫描过程中大量使用 CPU。

UUID（7BBC8EE8-D092-34D9-9DD8-B85A99E46C64）标识了属于 Avast 检测数据库（algo.so）的库。文件内容是从库中提取的调试信息。不幸的是，这似乎包含一个字符串，而 Avast 将其检测为恶意软件。

（“粗鲁”的文字可能只是恶意软件的名称。）

macOS High Sierra 上的 Avast 声称已捕获仅限 Windows 的“Cryptonight”病毒

答案1

非常确定没有病毒、恶意软件或木马在起作用，这全都是高度巧合的误报。

相关内容