Avast di macOS High Sierra mengklaim telah menangkap virus “Cryptonight” Windows Saja

39

Kemarin saya menjalankan pemindaian sistem lengkap menggunakan perangkat lunak Avast antivirus saya dan menemukan file infeksi. Lokasi file adalah:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast mengkategorikan file infeksi sebagai:

JS:Cryptonight [Trj]

Jadi, setelah menghapus file, saya melakukan beberapa pemindaian sistem lengkap untuk memeriksa apakah ada file lagi. Saya tidak menemukan apa pun, sampai saya me-restart macbook pro saya hari ini. File muncul kembali di lokasi yang sama. Jadi saya memutuskan untuk membiarkan Avast memasukkannya ke dalam kotak virus, menyalakan kembali laptop, dan lagi file itu berada di lokasi yang sama lagi. Karenanya virus ini menciptakan kembali file setiap restart laptop.

Saya ingin menghindari menyeka laptop dan menginstal ulang semuanya, jadi itu sebabnya saya di sini. Saya meneliti path file dan cryptonight dan menemukan bahwa cryptonight adalah / dapat kode berbahaya yang dapat berjalan di latar belakang komputer seseorang untuk menambang cryptocurrency. Saya telah memantau penggunaan CPU, Memori, dan Jaringan saya dan saya belum melihat satu proses aneh pun berjalan. CPU saya berjalan di bawah 30%, RAM saya umumnya di bawah 5GB (terpasang 16GB), dan jaringan saya belum memiliki proses mengirim / menerima data dalam jumlah besar. Jadi jika ada sesuatu yang menambang di latar belakang, saya tidak bisa mengatakannya sama sekali. Aku tidak tahu apa yang harus dilakukan.

Avast saya menjalankan pemindaian sistem penuh setiap minggu, jadi ini baru-baru ini menjadi masalah minggu ini. Saya memeriksa semua ekstensi chrome saya dan tidak ada yang rusak, saya belum mengunduh sesuatu yang istimewa dalam seminggu terakhir, selain sistem operasi Mac yang baru (macOS High Sierra 10.13.1). Jadi saya tidak tahu dari mana ini berasal dari jujur ​​dan saya tidak tahu bagaimana menyingkirkannya. Dapatkah seseorang tolong bantu saya.

Saya menduga bahwa ini "virus" seharusnya datang dari pembaruan Apple dan itu hanya file pra-instal yang dibuat dan dijalankan setiap kali OS di-boot / reboot. Tapi saya tidak yakin karena saya hanya punya satu MacBook dan tidak ada orang lain yang saya tahu yang memiliki mac telah memperbarui OS ke High Sierra. Tapi Avast terus memberi label ini sebagai virus "Cryptonight" yang potensial dan tidak ada orang lain di internet yang memposting apa pun tentang masalah ini. Oleh karena itu, forum penghapusan virus yang umum tidak membantu dalam situasi saya, karena saya sudah berusaha untuk menghapusnya dengan Avast, malwarebytes, dan secara manual.

Lonely Twinky
sumber
5
Kemungkinan besar itu positif palsu.
JakeGould
1
Itulah yang ingin saya sampaikan, tetapi saya ingin diyakinkan sehingga memang demikian adanya.
Lonely Twinky
5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64Tampaknya nomor ajaib! Lihat jawaban saya untuk detailnya .
JakeGould
2
@ bcrist Algoritme itu sendiri adalah platform agnostik, tetapi satu-satunya penambang Mac yang dapat saya temukan yang menggunakan Cryptonight bukan JavaScript; mereka semua jelas biner tingkat sistem seperti ini . Lebih detail tentang implementasi C di sini dan di sini . Jika ini murni ancaman JavaScript, maka pengguna Linux juga akan mengeluh. Selain itu, Mac memiliki kartu video yang mengerikan secara default sehingga mereka membuat penambang koin yang mengerikan.
JakeGould
3
Saya telah menghubungi Avast tentang file tersebut sebagai false positive, saya akan memposting pembaruan pada tanggapan mereka setiap kali mereka menghubungi saya kembali.
Lonely Twinky

Jawaban:

67

Cukup yakin tidak ada virus, malware atau trojan yang sedang bermain dan itu semua adalah positif palsu yang sangat kebetulan.

Kemungkinan besar itu adalah false positive karena /var/db/uuidtext/terkait dengan subsistem "Unified Logging" yang diperkenalkan di macOS Sierra (10.2). Seperti yang dijelaskan artikel ini :

Jalur file pertama ( /var/db/diagnostics/) berisi file log. File-file ini dinamai dengan nama file cap waktu mengikuti pola logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. File-file ini adalah file biner yang harus kita gunakan utilitas baru di macOS untuk menguraikannya. Direktori ini berisi beberapa file lain termasuk file log * .tracev3 tambahan dan lainnya yang berisi metadata logging. Jalur file kedua ( /var/db/uuidtext/) berisi file-file yang merupakan referensi dalam file log * .tracev3 utama.

Tetapi dalam kasus Anda "sihir" tampaknya datang dari hash:

BC8EE8D09234D99DD8B85A99E46C64

Lihat saja referensi ini untuk file malware Windows yang dikenal yang mereferensikan satu hash tertentu. Selamat! Mac Anda telah secara ajaib membuat nama file yang cocok dengan vektor yang dikenal yang terutama terlihat pada sistem Windows ... Tapi Anda menggunakan Mac dan nama file ini hanya hash yang terhubung ke struktur file sistem basis data "Log Unified" dan itu adalah sepenuhnya kebetulan bahwa itu cocok dengan nama file malware dan tidak boleh berarti apa-apa.

Dan alasan mengapa file tertentu tampaknya dibuat kembali didasarkan pada detail ini dari penjelasan di atas:

Jalur file kedua ( /var/db/uuidtext/) berisi file-file yang merupakan referensi dalam file log * .tracev3 utama.

Jadi Anda menghapus file /var/db/uuidtext/, tetapi semua itu adalah referensi untuk apa yang ada di /var/db/diagnostics/. Jadi ketika Anda mem-boot ulang, ia melihatnya hilang dan membuatnya kembali /var/db/uuidtext/.

Apa yang harus dilakukan sekarang? Nah, Anda bisa mentolerir peringatan Avast atau mengunduh alat pembersih cache seperti Onyx dan memaksa log untuk dibuat kembali dengan benar-benar membersihkannya dari sistem Anda; bukan hanya satu BC8EE8D09234D99DD8B85A99E46C64file itu. Mudah-mudahan nama hash file yang dibuat ulang setelah pembersihan penuh tidak akan sengaja cocok dengan file malware yang dikenal lagi.


UPDATE 1 : Sepertinya staf Avast mengakui masalah ini dalam posting ini di forum mereka :

Saya dapat mengkonfirmasi ini adalah positif palsu. Pos superuser.com menjelaskan masalah ini dengan cukup baik - MacOS tampaknya telah secara tidak sengaja membuat file yang berisi fragmen penambang cryptocurrency berbahaya yang juga memicu salah satu deteksi kami.

Sekarang yang benar-benar aneh tentang pernyataan ini adalah frasa, “ ... MacOS sepertinya telah secara tidak sengaja membuat file yang berisi fragmen penambang cryptocurrency berbahaya.

Apa? Apakah ini menyiratkan bahwa seseorang di tim inti pengembangan perangkat lunak macOS di Apple entah bagaimana “secara tidak sengaja” mengatur sistem sehingga menghasilkan fragmen yang dikebiri dari penambang cryptocurrency berbahaya yang dikenal? Adakah yang langsung menghubungi Apple tentang hal ini? Ini semua sepertinya agak gila.


UPDATE 2 : Masalah ini dijelaskan lebih lanjut oleh seseorang Radek Brich the Avast forum sebagai hanya Avast mengidentifikasi diri sendiri:

Halo, saya hanya akan menambahkan sedikit informasi.

File ini dibuat oleh sistem MacOS, itu sebenarnya bagian dari laporan diagnostik "penggunaan cpu". Laporan dibuat karena Avast banyak menggunakan CPU selama pemindaian.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) mengidentifikasi perpustakaan yang merupakan bagian dari DB deteksi Avast (algo.so). Konten file adalah informasi debug yang diambil dari perpustakaan. Sayangnya, ini sepertinya mengandung string yang pada gilirannya terdeteksi oleh Avast sebagai malware.

(Teks "kasar" mungkin hanya nama-nama malware.)

JakeGould
sumber
4
Terima kasih atas penjelasannya, Anda benar-benar penyelamat. Dijelaskan dengan sangat baik.
Lonely Twinky
16
Wow. Pada catatan terkait, Anda harus berinvestasi dalam tiket lotre! "Keberuntungan" semacam itu tidak seharusnya "sekali dalam seumur hidup" itu seharusnya "sekali dalam seluruh umur alam semesta, dari big bang hingga panas mati."
Cort Ammon
14
Tunggu apa? Algoritma hash apa itu? Jika ini merupakan kriptografi lama, kita memiliki persamaan dengan memecahkan secara acak serangan pra-gambar kedua dan layak mendapatkan lebih banyak pengakuan.
Joshua
3
@ Joshua Mungkin seorang insinyur Apple adalah penyumbang malware dan membiarkan beberapa kode generasi hash masuk ke dalam kode "pekerjaan harian" mereka? Bukankah itu tendangan di kepala!
JakeGould
6
@JohnDvorak Path lengkapnya adalah /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, jadi nama file bisa menjadi 120 bit terakhir dari 128 bit hash (8 yang pertama 7B). Itu tidak berarti itu hash kriptografi, tetapi panjangnya cocok dengan MD5.
Matthew Crumley