Kemarin saya menjalankan pemindaian sistem lengkap menggunakan perangkat lunak Avast antivirus saya dan menemukan file infeksi. Lokasi file adalah:
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
Avast mengkategorikan file infeksi sebagai:
JS:Cryptonight [Trj]
Jadi, setelah menghapus file, saya melakukan beberapa pemindaian sistem lengkap untuk memeriksa apakah ada file lagi. Saya tidak menemukan apa pun, sampai saya me-restart macbook pro saya hari ini. File muncul kembali di lokasi yang sama. Jadi saya memutuskan untuk membiarkan Avast memasukkannya ke dalam kotak virus, menyalakan kembali laptop, dan lagi file itu berada di lokasi yang sama lagi. Karenanya virus ini menciptakan kembali file setiap restart laptop.
Saya ingin menghindari menyeka laptop dan menginstal ulang semuanya, jadi itu sebabnya saya di sini. Saya meneliti path file dan cryptonight dan menemukan bahwa cryptonight adalah / dapat kode berbahaya yang dapat berjalan di latar belakang komputer seseorang untuk menambang cryptocurrency. Saya telah memantau penggunaan CPU, Memori, dan Jaringan saya dan saya belum melihat satu proses aneh pun berjalan. CPU saya berjalan di bawah 30%, RAM saya umumnya di bawah 5GB (terpasang 16GB), dan jaringan saya belum memiliki proses mengirim / menerima data dalam jumlah besar. Jadi jika ada sesuatu yang menambang di latar belakang, saya tidak bisa mengatakannya sama sekali. Aku tidak tahu apa yang harus dilakukan.
Avast saya menjalankan pemindaian sistem penuh setiap minggu, jadi ini baru-baru ini menjadi masalah minggu ini. Saya memeriksa semua ekstensi chrome saya dan tidak ada yang rusak, saya belum mengunduh sesuatu yang istimewa dalam seminggu terakhir, selain sistem operasi Mac yang baru (macOS High Sierra 10.13.1). Jadi saya tidak tahu dari mana ini berasal dari jujur dan saya tidak tahu bagaimana menyingkirkannya. Dapatkah seseorang tolong bantu saya.
Saya menduga bahwa ini "virus" seharusnya datang dari pembaruan Apple dan itu hanya file pra-instal yang dibuat dan dijalankan setiap kali OS di-boot / reboot. Tapi saya tidak yakin karena saya hanya punya satu MacBook dan tidak ada orang lain yang saya tahu yang memiliki mac telah memperbarui OS ke High Sierra. Tapi Avast terus memberi label ini sebagai virus "Cryptonight" yang potensial dan tidak ada orang lain di internet yang memposting apa pun tentang masalah ini. Oleh karena itu, forum penghapusan virus yang umum tidak membantu dalam situasi saya, karena saya sudah berusaha untuk menghapusnya dengan Avast, malwarebytes, dan secara manual.
BC8EE8D09234D99DD8B85A99E46C64
Tampaknya nomor ajaib! Lihat jawaban saya untuk detailnya .Jawaban:
Cukup yakin tidak ada virus, malware atau trojan yang sedang bermain dan itu semua adalah positif palsu yang sangat kebetulan.
Kemungkinan besar itu adalah false positive karena
/var/db/uuidtext/
terkait dengan subsistem "Unified Logging" yang diperkenalkan di macOS Sierra (10.2). Seperti yang dijelaskan artikel ini :Tetapi dalam kasus Anda "sihir" tampaknya datang dari hash:
Lihat saja referensi ini untuk file malware Windows yang dikenal yang mereferensikan satu hash tertentu. Selamat! Mac Anda telah secara ajaib membuat nama file yang cocok dengan vektor yang dikenal yang terutama terlihat pada sistem Windows ... Tapi Anda menggunakan Mac dan nama file ini hanya hash yang terhubung ke struktur file sistem basis data "Log Unified" dan itu adalah sepenuhnya kebetulan bahwa itu cocok dengan nama file malware dan tidak boleh berarti apa-apa.
Dan alasan mengapa file tertentu tampaknya dibuat kembali didasarkan pada detail ini dari penjelasan di atas:
Jadi Anda menghapus file
/var/db/uuidtext/
, tetapi semua itu adalah referensi untuk apa yang ada di/var/db/diagnostics/
. Jadi ketika Anda mem-boot ulang, ia melihatnya hilang dan membuatnya kembali/var/db/uuidtext/
.Apa yang harus dilakukan sekarang? Nah, Anda bisa mentolerir peringatan Avast atau mengunduh alat pembersih cache seperti Onyx dan memaksa log untuk dibuat kembali dengan benar-benar membersihkannya dari sistem Anda; bukan hanya satu
BC8EE8D09234D99DD8B85A99E46C64
file itu. Mudah-mudahan nama hash file yang dibuat ulang setelah pembersihan penuh tidak akan sengaja cocok dengan file malware yang dikenal lagi.UPDATE 1 : Sepertinya staf Avast mengakui masalah ini dalam posting ini di forum mereka :
Sekarang yang benar-benar aneh tentang pernyataan ini adalah frasa, “ ... MacOS sepertinya telah secara tidak sengaja membuat file yang berisi fragmen penambang cryptocurrency berbahaya. ”
Apa? Apakah ini menyiratkan bahwa seseorang di tim inti pengembangan perangkat lunak macOS di Apple entah bagaimana “secara tidak sengaja” mengatur sistem sehingga menghasilkan fragmen yang dikebiri dari penambang cryptocurrency berbahaya yang dikenal? Adakah yang langsung menghubungi Apple tentang hal ini? Ini semua sepertinya agak gila.
UPDATE 2 : Masalah ini dijelaskan lebih lanjut oleh seseorang Radek Brich the Avast forum sebagai hanya Avast mengidentifikasi diri sendiri:
sumber
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
, jadi nama file bisa menjadi 120 bit terakhir dari 128 bit hash (8 yang pertama7B
). Itu tidak berarti itu hash kriptografi, tetapi panjangnya cocok dengan MD5.