MacOS'taki Avast High Sierra, yalnızca Windows Cryptonight virüsünü yakaladığını iddia ediyor


39

Dün Avast antivirüs yazılımımı kullanarak tam sistem taraması yaptım ve bir virüs bulaştı. Dosyanın konumu:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast, enfeksiyon dosyasını şu şekilde sınıflandırır:

JS:Cryptonight [Trj]

Bu nedenle, dosyayı sildikten sonra daha fazla dosya olup olmadığını kontrol etmek için birkaç tam sistem taraması yaptım. MacBook Pro'yu bugün yeniden başlatana kadar hiçbir şey bulamadım. Dosya aynı yerde yeniden ortaya çıktı. Böylece Avast'ın onu virüs göğsüne koymasına izin verdim, dizüstü bilgisayarı yeniden başlattım ve dosya yine aynı konumdaydı. Bu nedenle virüs, dizüstü bilgisayarı her yeniden başlatıldığında dosyayı yeniden oluşturuyor.

Dizüstü bilgisayarı silmek ve yeniden kurmaktan kaçınmak istiyorum, bu yüzden buradayım. Dosya yolunu ve şifrelemeyi araştırdım ve şifrelemenin birisinin bilgisayarının arka planında şifrelemeyi şifrelemek için kullanabileceği kötü amaçlı bir kod olduğunu / olabileceğini gördüm. CPU kullanımımı, Belleği ve Ağımı izliyorum ve çalışan tek bir işlem görmedim. CPU'm% 30'un altında çalışıyor, RAM'im genellikle 5GB'ın altında (16GB yüklü) ve ağımda büyük miktarda veri gönderen / alan hiçbir işlem olmamıştır. Yani, arka planda bir şey madencilik yapıyorsa, hiçbir şey söyleyemem. Ne yapacağım hakkında hiçbir fikrim yok.

Avast'ım her hafta tam sistem taraması yapıyor, bu yüzden bu hafta sonları sorun oldu. Tüm krom uzantılarımı kontrol ettim ve hiçbir şey yolunda değil, geçen hafta içinde yeni Mac işletim sisteminin yanı sıra (macOS High Sierra 10.13.1) özel bir şey indirmedim. Dürüst olmak için nereden geldiğine dair hiçbir fikrim yok ve ondan nasıl kurtulacağına dair hiçbir fikrim yok. Biri lütfen bana yardım edebilir mi?

Bu sözde "virüs" ün Apple güncellemesinden geldiğinden ve işletim sisteminin her açılışında / yeniden başlatılmasında oluşturulmuş ve çalışan önceden yüklenmiş bir dosya olduğundan şüpheleniyorum. Ancak yalnızca bir MacBook'um olduğundan ve Mac'in işletim sistemini High Sierra olarak güncellediğini bildiğim başka hiç kimseden emin değilim. Ancak Avast, bunu potansiyel bir “Cryptonight” virüsü olarak etiketlemeye devam ediyor ve başka hiç kimse bu konuda hiçbir şey yayınlamadı. Bu nedenle, ortak bir virüs temizleme forumu benim durumumda yardımcı olmuyor, çünkü Avast, malwarebytes ve manuel olarak onu kaldırmaya çalıştım.


5
Büyük olasılıkla yanlış bir pozitif.
JakeGould

1
Sonuca geldiğim şey bu, ancak güvenceyi istiyorum, bu yüzden bu.
Lonely Twinky

5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64 Sihirli bir numara gibi görünüyor! Detaylar için cevabımı gör. .
JakeGould

2
bcrist Tek başına algoritma, platform agnostik, ancak Cryptonight'ı kullandığını bulabildiğim tek Mac madencisi JavaScript değil; hepsi açıkça sistem düzeyinde ikili dosyalar bunun gibi . C uygulamaları hakkında daha fazla detay İşte ve İşte . Bu tamamen bir JavaScript tehdidi olsaydı, Linux kullanıcıları da şikayet ederdi. Ayrıca, Mac'ler varsayılan olarak korkunç ekran kartlarına sahipler ve böylece madeni para madencileri yapıyorlar.
JakeGould

3
Dosyanın yanlış bir pozitif olduğu konusunda Avast'la bağlantı kurdum, geri döndüklerinde yanıtları hakkında bir güncelleme yayınlayacağım.
Lonely Twinky

Yanıtlar:


65

Oyunda virüs, kötü amaçlı yazılım veya trojan bulunmadığından ve bunların hepsinin tesadüfi bir yanlış pozitif olduğu kesin.

O zamandan beri büyük olasılıkla yanlış bir pozitif /var/db/uuidtext/ macOS Sierra (10.2) 'de tanıtılan yeni "Unified Logging" alt sistemi ile ilgilidir. Gibi bu makale açıklıyor :

İlk dosya yolu ( /var/db/diagnostics/ ) günlük dosyalarını içerir. Bu dosyalar deseni izleyen zaman damgası dosya adıyla adlandırılır logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Bu dosyalar, onları ayrıştırmak için macOS'ta yeni bir yardımcı program kullanmamız gereken ikili dosyalardır. Bu dizin, ek log * .tracev3 dosyaları ve günlüğe kaydetme meta verileri içeren diğerlerini de içeren başka dosyalar içerir. İkinci dosya yolu ( /var/db/uuidtext/ ), ana * .tracev3 günlük dosyalarında referans olan dosyaları içerir.

Ancak sizin durumunuzda “sihir” karma değerden geliyor gibi görünüyor:

BC8EE8D09234D99DD8B85A99E46C64

Sadece bu referansı kontrol et bilinen Windows kötü amaçlı yazılım dosyaları için Bu, belirli bir karmaşa atıfta bulunur. Tebrikler! Mac'iniz, öncelikle Windows sistemlerinde görülen bilinen bir vektörle eşleşen bir dosya adı oluşturdu… Ama bir Mac’in ve bu dosya adı “Unified Logging” veritabanı sisteminin dosya yapısına bağlı bir karmaşaydı. bu kötü amaçlı yazılımın dosya adıyla eşleşmesi ve hiçbir şey ifade etmemesi gerektiğine tamamen tesadüf eseridir.

Ve belirli bir dosyanın yenilenmiş gözükmesinin sebebi, yukarıdaki açıklamadaki bu ayrıntıya dayanmaktadır:

İkinci dosya yolu ( /var/db/uuidtext/ ), ana * .tracev3 günlük dosyalarında referans olan dosyaları içerir.

Böylece dosyayı silin /var/db/uuidtext/, fakat hepsi bu, içinde ne olduğuna bir referans /var/db/diagnostics/. Yeniden başlattığınızda eksik olduğunu görür ve yeniden oluşturur. /var/db/uuidtext/.

Şimdi ne yapacaksın? Peki ya Avast uyarılarına tahammül edebilir veya bir Onyx gibi önbellek temizleme aracı ve sadece kütükleri sisteminizden gerçekten temizleyerek yeniden oluşturmaya zorlayın; sadece o değil BC8EE8D09234D99DD8B85A99E46C64 dosya. Umarım, tam bir temizlikten sonra yeniden oluşturduğu dosyaların karma adları, bilinen bir kötü amaçlı yazılım dosyasıyla yanlışlıkla eşleşmez.


GÜNCELLEME 1 : Avast personeli sorunu kabul ediyor gibi görünüyor forumlarında bu yazıda :

Bunun yanlış bir pozitif olduğunu onaylayabilirim. Superuser.com yayını sorunu oldukça iyi açıklıyor - MacOS yanlışlıkla algılananlardan birini tetikleyen kötü amaçlı kripto para birimi madencisinin parçalarını içeren bir dosya oluşturmuş gibi görünüyor.

Şimdi bu ifadede asıl tuhaf olan şey “işte. … MacOS yanlışlıkla kötü amaçlı kripto para birimi madenci parçalarını içeren bir dosya oluşturmuş gibi görünüyor.

Ne? Bu, Apple'daki çekirdek macOS yazılım geliştirme ekibindeki birisinin bir şekilde “yanlışlıkla” sistemi kurması anlamına geldiğini ve böylece bilinen bir kötü niyetli kripto para birimi madencisinin kısırlaştırılmış parçalarını ürettiğini mi gösteriyor? Bu konuda doğrudan Apple ile iletişim kuran var mı? Bunların hepsi biraz çılgınca görünüyor.


GÜNCELLEME 2 : Bu konu Bir başkası Radek Brich tarafından Avast forumlarında da açıklandı Sadece Avast'ın kendini tanımladığı gibi:

Merhaba, sadece biraz daha bilgi ekleyeceğim.

Dosya MacOS sistemi tarafından oluşturulmuştur, aslında "cpu kullanımı" teşhis raporunun bir parçasıdır. Avast, tarama sırasında CPU'yu yoğun kullandığından rapor oluşturulur.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64), Avast tespitleri DB'nin (algo.so) bir parçası olan bir kütüphaneyi tanımlar. Dosyanın içeriği kütüphaneden çıkarılan bilgileri ayıklamaktır. Ne yazık ki, bu Avast tarafından kötü amaçlı yazılım olarak algılanan bir dize içeriyor gibi görünüyor.

("Kaba" metinler muhtemelen kötü amaçlı yazılımların yalnızca adlarıdır.)


4
Açıklama için teşekkürler, sen gerçekten bir kurtarıcısın. Çok iyi açıkladı.
Lonely Twinky

15
Vay. İlgili bir kayda göre, loto biletine yatırım yapmalısınız! Bu tür bir "şans" ın "bir yaşamda bir kez" olması gerekmiyor, "bir kez evrenin tüm yaşamında, büyük patlamadan ısı ölümüne" olması gerekiyordu.
Cort Ammon

13
Bir dakika ne? Bu ne karma algoritması? Eski bir kriptografik bile olsa, ikinci bir görüntü öncesi saldırıyı rastgele çözme eşdeğerine sahibiz ve daha fazla tanıma hak ediyor.
Joshua

3
@Joshua Belki bir Apple mühendisi kötü amaçlı yazılımlara katkıda bulunur ve bazı üretim kodlarının günlük iş kodlarına girmesine izin verir mi? Bu kafanın tekmelemesi olmazdı!
JakeGould

6
@JohnDvorak Tam yol /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, yani dosya adı 128 bitlik bir karma değerin sadece son 120 biti olabilir (ilk 8 7B ). Bu mutlaka bir şifreleme karma olduğu anlamına gelmez, ancak uzunluk MD5 ile eşleşir.
Matthew Crumley
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.