Avast unter macOS High Sierra gibt an, das Windows-Virus „Cryptonight“ infiziert zu haben


39

Gestern habe ich mit meiner Avast-Antivirensoftware einen vollständigen Systemscan durchgeführt und eine Infektionsdatei gefunden. Der Speicherort der Datei ist:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast kategorisiert die Infektionsdatei als:

JS:Cryptonight [Trj]

Nach dem Löschen der Datei habe ich mehrere vollständige System-Scans durchgeführt, um festzustellen, ob weitere Dateien vorhanden sind. Ich habe nichts gefunden, bis ich heute mein MacBook Pro neu gestartet habe. Die Datei wurde am selben Speicherort erneut angezeigt. Also beschloss ich, Avast es in die Viren-Truhe legen zu lassen, den Laptop neu zu starten und die Datei wieder am selben Ort zu speichern. Daher erstellt der Virus die Datei bei jedem Neustart des Laptops neu.

Ich möchte vermeiden, den Laptop zu wischen und alles neu zu installieren, deshalb bin ich hier. Ich habe den Dateipfad und Cryptonight untersucht und festgestellt, dass Cryptonight bösartiger Code ist / sein kann, der im Hintergrund eines Computers ausgeführt werden kann, um die Kryptowährung zu ermitteln. Ich habe die CPU-Auslastung, den Arbeitsspeicher und das Netzwerk überwacht und keinen einzigen ungeraden Prozess ausgeführt. Meine CPU ist unter 30% ausgelastet, mein RAM ist im Allgemeinen unter 5 GB (installierte 16 GB), und in meinem Netzwerk wurden keine Prozesse zum Senden / Empfangen großer Datenmengen ausgeführt. Also, wenn etwas im Hintergrund Bergbau ist, kann ich überhaupt nicht sagen. Ich habe keine Ahnung, was ich tun soll.

Mein Avast führt jede Woche vollständige System-Scans durch, daher wurde dies erst kürzlich zu einem Problem in dieser Woche. Ich habe alle meine Chrome-Erweiterungen überprüft und nichts funktioniert nicht. Ich habe in der letzten Woche nichts Besonderes heruntergeladen, außer dem neuen Mac-Betriebssystem (macOS High Sierra 10.13.1). Ich habe also keine Ahnung, woher das kommt, um ehrlich zu sein, und ich habe keine Ahnung, wie ich es loswerden soll. Kann mir bitte jemand weiterhelfen.

Ich vermute, dass dieser angebliche „Virus“ vom Apple-Update stammt und dass es sich lediglich um eine vorinstallierte Datei handelt, die jedes Mal erstellt und ausgeführt wird, wenn das Betriebssystem gestartet / neu gestartet wird. Aber ich bin mir nicht sicher, da ich nur ein MacBook besitze und niemand sonst, von dem ich weiß, dass er ein Mac hat, das Betriebssystem auf High Sierra aktualisiert hat. Avast bezeichnet dies jedoch weiterhin als potenziellen „Cryptonight“ -Virus, und niemand anderes hat online etwas zu diesem Problem veröffentlicht. Daher ist ein allgemeines Forum zum Entfernen von Viren in meiner Situation nicht hilfreich, da ich bereits versucht habe, es mit Avast, malwarebytes und manuell zu entfernen.


5
Es ist höchstwahrscheinlich ein falsches Positiv.
JakeGould

1
Darauf komme ich zu dem Schluss, aber ich möchte die Gewissheit haben, dass es so ist.
Lonely Twinky

5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64Scheint eine magische Zahl zu sein! Siehe meine Antwort für Details .
JakeGould

2
@bcrist Der Algorithmus allein ist plattformunabhängig, aber die einzigen Mac-Miner, die Cryptonight verwenden, sind nicht JavaScript. Es handelt sich eindeutig um Binärdateien auf Systemebene wie diese . Weitere Details zu den C-Implementierungen hier und hier . Wenn dies nur eine JavaScript-Bedrohung wäre, würden sich auch Linux-Benutzer beschweren. Außerdem haben Macs standardmäßig schreckliche Grafikkarten, so dass sie schreckliche Coin Miner sind.
JakeGould

3
Ich habe Avast kontaktiert, weil die Datei falsch positiv ist. Ich werde ein Update zu ihrer Antwort veröffentlichen, sobald sie mich zurückmelden.
Lonely Twinky

Antworten:


67

Ziemlich sicher, dass keine Viren, Malware oder Trojaner im Spiel sind, und alles ist ein höchst zufälliges falsches Positiv.

Es handelt sich höchstwahrscheinlich um ein falsches Positiv, da /var/db/uuidtext/es sich um das neue Subsystem „Unified Logging“ handelt, das in macOS Sierra (10.2) eingeführt wurde. Wie dieser Artikel erklärt :

Der erste Dateipfad ( /var/db/diagnostics/) enthält die Protokolldateien. Diese Dateien werden mit einem Zeitstempeldateinamen benannt, der dem Muster folgt logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Diese Dateien sind Binärdateien, die wir mit einem neuen Dienstprogramm unter macOS analysieren müssen. Dieses Verzeichnis enthält einige andere Dateien, einschließlich zusätzlicher Protokolldateien * .tracev3 und andere, die Protokollmetadaten enthalten. Der zweite Dateipfad ( /var/db/uuidtext/) enthält Dateien, auf die in den Hauptprotokolldateien * .tracev3 verwiesen wird.

Aber in deinem Fall scheint die "Magie" vom Hash zu kommen:

BC8EE8D09234D99DD8B85A99E46C64

Suchen Sie in dieser Referenz nach bekannten Windows-Malware-Dateien , die auf diesen einen bestimmten Hash verweisen. Herzliche Glückwünsche! Ihr Mac hat auf magische Weise einen Dateinamen erstellt, der mit einem bekannten Vektor übereinstimmt, der hauptsächlich auf Windows-Systemen zu sehen ist. Sie befinden sich jedoch auf einem Mac, und dieser Dateiname ist nur ein Hash, der mit der Dateistruktur des Datenbanksystems „Unified Logging“ verbunden ist Es ist völlig zufällig, dass es dem Malware-Dateinamen entspricht und nichts bedeuten sollte.

Und der Grund, warum sich eine bestimmte Datei zu regenerieren scheint, basiert auf diesem Detail aus der obigen Erklärung:

Der zweite Dateipfad ( /var/db/uuidtext/) enthält Dateien, auf die in den Hauptprotokolldateien * .tracev3 verwiesen wird.

Sie löschen also die Datei in /var/db/uuidtext/, aber alles, was es ist, ist ein Verweis auf das, was sich in befindet /var/db/diagnostics/. Wenn Sie also neu starten, wird es als fehlend erkannt und in neu erstellt /var/db/uuidtext/.

Was ist jetzt zu tun? Nun, Sie können entweder die Avast-Warnungen tolerieren oder ein Cache-Bereinigungstool wie Onyx herunterladen und die Wiederherstellung der Protokolle erzwingen, indem Sie sie wirklich aus Ihrem System entfernen. nicht nur diese eine BC8EE8D09234D99DD8B85A99E46C64Datei. Hoffentlich stimmen die Hash-Namen der Dateien, die nach einer vollständigen Bereinigung wiederhergestellt werden, nicht versehentlich mit einer bekannten Malware-Datei überein.


UPDATE 1 : Anscheinend haben die Mitarbeiter von Avast das Problem in diesem Beitrag in ihren Foren zur Kenntnis genommen :

Ich kann bestätigen, dass dies falsch positiv ist. Der Beitrag auf superuser.com beschreibt das Problem recht gut. Offenbar hat MacOS versehentlich eine Datei erstellt, die Fragmente eines böswilligen Cryptocurrency Miner enthält, die zufällig auch eine unserer Erkennungen auslösen.

Was an dieser Aussage wirklich seltsam ist, ist der Satz: „ … MacOS scheint versehentlich eine Datei erstellt zu haben, die Fragmente eines böswilligen Cryptocurrency Miner enthält. "

Was? Bedeutet dies, dass jemand aus dem Kernteam der macOS-Softwareentwicklung bei Apple das System „versehentlich“ so eingerichtet hat, dass es kastrierte Fragmente eines bekannten böswilligen Cryptocurrency-Miners generiert? Hat jemand Apple diesbezüglich direkt kontaktiert? Das alles scheint ein bisschen verrückt.


UPDATE 2 : Dieses Problem wird von jemandem, den Radek Brich in den Avast-Foren als einfach selbstidentifizierend erklärt:

Hallo, ich werde nur ein bisschen mehr Informationen hinzufügen.

Die Datei wird vom MacOS-System erstellt und ist Teil des Diagnoseberichts "CPU-Auslastung". Der Bericht wird erstellt, weil Avast die CPU während des Scans stark beansprucht.

Die UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) kennzeichnet eine Bibliothek, die Teil der Avast Detections-Datenbank (algo.so) ist. Beim Inhalt der Datei handelt es sich um Debugging-Informationen, die aus der Bibliothek extrahiert wurden. Leider scheint dies eine Zeichenfolge zu enthalten, die im Gegenzug von Avast als Malware erkannt wird.

(Die "unhöflichen" Texte sind wahrscheinlich nur Namen von Malware.)


4
Vielen Dank für die Erklärung, Sie sind wirklich ein Retter. Auch sehr gut erklärt.
Lonely Twinky

16
Beeindruckend. Aus diesem Grund sollten Sie in ein Lottoschein investieren! Diese Art von "Glück" soll nicht "einmal im Leben" sein, sondern "einmal in der gesamten Lebensspanne des Universums, vom Urknall bis zum Hitzetod".
Cort Ammon

14
Warte was? Welcher Hash-Algorithmus ist das? Wenn es sich auch nur um eine alte kryptografische handelt, haben wir das Äquivalent, einen zweiten Pre-Image-Angriff zufällig zu lösen, und verdienen viel mehr Anerkennung.
Joshua

3
@Joshua Vielleicht leistet ein Apple-Ingenieur einen Beitrag zur Malware und lässt einen Code zur Hash-Generierung in seinen „Tagesjob“ -Code einfließen? Wäre das nicht ein Tritt in den Kopf!
JakeGould

6
@JohnDvorak Der vollständige Pfad lautet /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, der Dateiname könnte also die letzten 120 Bits eines 128-Bit-Hashs sein (die ersten 8 sind 7B). Das bedeutet nicht unbedingt, dass es sich um einen kryptografischen Hash handelt, aber die Länge stimmt mit MD5 überein.
Matthew Crumley
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.