macOS High Sierra 上的 Avast 声称已捕获仅限 Windows 的“Cryptonight”病毒

macOS High Sierra 上的 Avast 声称已捕获仅限 Windows 的“Cryptonight”病毒

昨天,我使用 Avast 防病毒软件进行了全面系统扫描,发现了一个感染文件。该文件的位置是:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast 将感染文件归类为:

JS:Cryptonight [Trj]

因此,删除文件后,我又进行了几次完整的系统扫描,以检查是否还有其他文件。我什么也没发现,直到今天我重新启动了 MacBook Pro。该文件再次出现在同一个位置。所以我决定让 Avast 将其放入病毒箱,重新启动笔记本电脑,文件再次出现在同一个位置。因此,病毒每次重新启动笔记本电脑时都会重新创建该文件。

我想避免擦除笔记本电脑并重新安装所有内容,所以我来这里了。我研究了文件路径和 cryptonight,发现 cryptonight 是/可能是恶意代码,可以在某人的计算机后台运行以挖掘加密货币。我一直在监控我的 CPU 使用率、内存和网络,我没有看到一个奇怪的进程在运行。我的 CPU 运行率低于 30%,我的 RAM 通常低于 5GB(安装 16GB),我的网络没有任何进程发送/接收大量数据。所以如果有什么东西在后台挖掘,我根本不知道。我不知道该怎么办。

我的 Avast 每周都会进行全面系统扫描,所以这最近才成为本周的问题。我检查了我所有的 chrome 扩展程序,没有任何问题,除了新的 Mac 操作系统(macOS High Sierra 10.13.1)之外,过去一周我没有下载任何特殊的东西。所以说实话,我不知道这是从哪里来的,也不知道如何摆脱它。有人能帮帮我吗?

我怀疑这个所谓的“病毒”来自 Apple 更新,它只是一个预安装的文件,每次启动/重新启动操作系统时都会创建并运行。但我不确定,因为我只有一台 MacBook,而且我认识的其他拥有 Mac 的人都没有将操作系统更新到 High Sierra。但 Avast 一直将其标记为潜在的“Cryptonight”病毒,网上没有其他人发布有关此问题的任何信息。因此,常见的病毒清除论坛对我的情况没有帮助,因为我已经尝试使用 Avast、malwarebytes 和手动方式将其删除。

答案1

非常确定没有病毒、恶意软件或木马在起作用,这全都是高度巧合的误报。

这很可能是误报,因为/var/db/uuidtext/它与 macOS Sierra (10.2) 中引入的新“统一日志记录”子系统有关。这篇文章解释

第一个文件路径 ( /var/db/diagnostics/) 包含日志文件。这些文件以遵循模式的时间戳文件名命名logdata.Persistent.YYYYMMDDTHHMMSS.tracev3。这些文件是二进制文件,我们必须使用 macOS 上的新实用程序来解析它们。此目录还包含一些其他文件,包括附加日志 *.tracev3 文件和其他包含日志元数据的文件。第二个文件路径 ( /var/db/uuidtext/) 包含主 *.tracev3 日志文件中引用的文件。

但在您的情况下,“魔法”似乎来自于哈希:

BC8EE8D09234D99DD8B85A99E46C64

只需查看此参考资料已知的 Windows 恶意软件文件引用一个特定的哈希值。恭喜你!你的 Mac 神奇地创建了一个文件名,该文件名与 Windows 系统上主要出现的已知向量相匹配……但你使用的是 Mac,而这个文件名只是一个与“统一日志”数据库系统的文件结构相连的哈希值,它与恶意软件文件名相匹配完全是巧合,不应该意味着什么。

并且特定文件似乎重新生成的原因是基于上述解释中的这个细节:

第二个文件路径(/var/db/uuidtext/)包含主 *.tracev3 日志文件中引用的文件。

因此,您删除了 中的文件/var/db/uuidtext/,但它只是 中内容的引用/var/db/diagnostics/。因此,当您重新启动时,它会发现它已丢失并在 中重新创建它/var/db/uuidtext/

那么现在该怎么办?好吧,你可以忍受 Avast 警报,也可以下载缓存清理工具,例如 Onyx并通过真正从系统中清除日志来强制重新创建日志;而不仅仅是那个BC8EE8D09234D99DD8B85A99E46C64文件。希望在完全清除后重新生成的文件的哈希名称不会意外地再次与已知的恶意软件文件匹配。


更新 1:Avast 员工似乎承认了这个问题在他们论坛上的这篇文章中

我可以确认这是误报。superuser.com 的帖子很好地描述了这个问题 - MacOS 似乎意外创建了一个包含恶意加密货币挖矿程序片段的文件,而这恰好触发了我们的一个检测。

现在,这句话真正奇怪的是这句话,“...MacOS 似乎意外创建了一个包含恶意加密货币矿工碎片的文件。

什么?这是否意味着苹果公司 macOS 核心软件开发团队的某个人以某种方式“意外”设置了系统,使其生成已知恶意加密货币挖矿程序的阉割片段?有人就此事直接联系过苹果吗?这一切似乎有点疯狂。


更新2:这个问题是有人在 Avast 论坛上进一步解释了 Radek BrichAvast 的自我标识如下:

您好,我只想补充一些信息。

该文件由 MacOS 系统创建,实际上是“CPU 使用率”诊断报告的一部分。创建该报告是因为 Avast 在扫描过程中大量使用 CPU。

UUID(7BBC8EE8-D092-34D9-9DD8-B85A99E46C64)标识了属于 Avast 检测数据库(algo.so)的库。文件内容是从库中提取的调试信息。不幸的是,这似乎包含一个字符串,而 Avast 将其检测为恶意软件。

(“粗鲁”的文字可能只是恶意软件的名称。)

相关内容