Avast unter macOS High Sierra gibt an, das Windows-Virus „Cryptonight“ infiziert zu haben

Gestern habe ich mit meiner Avast-Antivirensoftware einen vollständigen Systemscan durchgeführt und eine Infektionsdatei gefunden. Der Speicherort der Datei ist:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast kategorisiert die Infektionsdatei als:

JS:Cryptonight [Trj]

Nach dem Löschen der Datei habe ich mehrere vollständige System-Scans durchgeführt, um festzustellen, ob weitere Dateien vorhanden sind. Ich habe nichts gefunden, bis ich heute mein MacBook Pro neu gestartet habe. Die Datei wurde am selben Speicherort erneut angezeigt. Also beschloss ich, Avast es in die Viren-Truhe legen zu lassen, den Laptop neu zu starten und die Datei wieder am selben Ort zu speichern. Daher erstellt der Virus die Datei bei jedem Neustart des Laptops neu.

Ich möchte vermeiden, den Laptop zu wischen und alles neu zu installieren, deshalb bin ich hier. Ich habe den Dateipfad und Cryptonight untersucht und festgestellt, dass Cryptonight bösartiger Code ist / sein kann, der im Hintergrund eines Computers ausgeführt werden kann, um die Kryptowährung zu ermitteln. Ich habe die CPU-Auslastung, den Arbeitsspeicher und das Netzwerk überwacht und keinen einzigen ungeraden Prozess ausgeführt. Meine CPU ist unter 30% ausgelastet, mein RAM ist im Allgemeinen unter 5 GB (installierte 16 GB), und in meinem Netzwerk wurden keine Prozesse zum Senden / Empfangen großer Datenmengen ausgeführt. Also, wenn etwas im Hintergrund Bergbau ist, kann ich überhaupt nicht sagen. Ich habe keine Ahnung, was ich tun soll.

Mein Avast führt jede Woche vollständige System-Scans durch, daher wurde dies erst kürzlich zu einem Problem in dieser Woche. Ich habe alle meine Chrome-Erweiterungen überprüft und nichts funktioniert nicht. Ich habe in der letzten Woche nichts Besonderes heruntergeladen, außer dem neuen Mac-Betriebssystem (macOS High Sierra 10.13.1). Ich habe also keine Ahnung, woher das kommt, um ehrlich zu sein, und ich habe keine Ahnung, wie ich es loswerden soll. Kann mir bitte jemand weiterhelfen.

Ich vermute, dass dieser angebliche „Virus“ vom Apple-Update stammt und dass es sich lediglich um eine vorinstallierte Datei handelt, die jedes Mal erstellt und ausgeführt wird, wenn das Betriebssystem gestartet / neu gestartet wird. Aber ich bin mir nicht sicher, da ich nur ein MacBook besitze und niemand sonst, von dem ich weiß, dass er ein Mac hat, das Betriebssystem auf High Sierra aktualisiert hat. Avast bezeichnet dies jedoch weiterhin als potenziellen „Cryptonight“ -Virus, und niemand anderes hat online etwas zu diesem Problem veröffentlicht. Daher ist ein allgemeines Forum zum Entfernen von Viren in meiner Situation nicht hilfreich, da ich bereits versucht habe, es mit Avast, malwarebytes und manuell zu entfernen.

Ziemlich sicher, dass keine Viren, Malware oder Trojaner im Spiel sind, und alles ist ein höchst zufälliges falsches Positiv.

Es handelt sich höchstwahrscheinlich um ein falsches Positiv, da /var/db/uuidtext/es sich um das neue Subsystem „Unified Logging“ handelt, das in macOS Sierra (10.2) eingeführt wurde. Wie dieser Artikel erklärt :

Der erste Dateipfad ( /var/db/diagnostics/) enthält die Protokolldateien. Diese Dateien werden mit einem Zeitstempeldateinamen benannt, der dem Muster folgt logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Diese Dateien sind Binärdateien, die wir mit einem neuen Dienstprogramm unter macOS analysieren müssen. Dieses Verzeichnis enthält einige andere Dateien, einschließlich zusätzlicher Protokolldateien * .tracev3 und andere, die Protokollmetadaten enthalten. Der zweite Dateipfad ( /var/db/uuidtext/) enthält Dateien, auf die in den Hauptprotokolldateien * .tracev3 verwiesen wird.

Aber in deinem Fall scheint die "Magie" vom Hash zu kommen:

BC8EE8D09234D99DD8B85A99E46C64

Suchen Sie in dieser Referenz nach bekannten Windows-Malware-Dateien , die auf diesen einen bestimmten Hash verweisen. Herzliche Glückwünsche! Ihr Mac hat auf magische Weise einen Dateinamen erstellt, der mit einem bekannten Vektor übereinstimmt, der hauptsächlich auf Windows-Systemen zu sehen ist. Sie befinden sich jedoch auf einem Mac, und dieser Dateiname ist nur ein Hash, der mit der Dateistruktur des Datenbanksystems „Unified Logging“ verbunden ist Es ist völlig zufällig, dass es dem Malware-Dateinamen entspricht und nichts bedeuten sollte.

Und der Grund, warum sich eine bestimmte Datei zu regenerieren scheint, basiert auf diesem Detail aus der obigen Erklärung:

Der zweite Dateipfad ( /var/db/uuidtext/) enthält Dateien, auf die in den Hauptprotokolldateien * .tracev3 verwiesen wird.

Sie löschen also die Datei in /var/db/uuidtext/, aber alles, was es ist, ist ein Verweis auf das, was sich in befindet /var/db/diagnostics/. Wenn Sie also neu starten, wird es als fehlend erkannt und in neu erstellt /var/db/uuidtext/.

Was ist jetzt zu tun? Nun, Sie können entweder die Avast-Warnungen tolerieren oder ein Cache-Bereinigungstool wie Onyx herunterladen und die Wiederherstellung der Protokolle erzwingen, indem Sie sie wirklich aus Ihrem System entfernen. nicht nur diese eine BC8EE8D09234D99DD8B85A99E46C64Datei. Hoffentlich stimmen die Hash-Namen der Dateien, die nach einer vollständigen Bereinigung wiederhergestellt werden, nicht versehentlich mit einer bekannten Malware-Datei überein.

UPDATE 1 : Anscheinend haben die Mitarbeiter von Avast das Problem in diesem Beitrag in ihren Foren zur Kenntnis genommen :

Ich kann bestätigen, dass dies falsch positiv ist. Der Beitrag auf superuser.com beschreibt das Problem recht gut. Offenbar hat MacOS versehentlich eine Datei erstellt, die Fragmente eines böswilligen Cryptocurrency Miner enthält, die zufällig auch eine unserer Erkennungen auslösen.

Was an dieser Aussage wirklich seltsam ist, ist der Satz: „ … MacOS scheint versehentlich eine Datei erstellt zu haben, die Fragmente eines böswilligen Cryptocurrency Miner enthält. "

Was? Bedeutet dies, dass jemand aus dem Kernteam der macOS-Softwareentwicklung bei Apple das System „versehentlich“ so eingerichtet hat, dass es kastrierte Fragmente eines bekannten böswilligen Cryptocurrency-Miners generiert? Hat jemand Apple diesbezüglich direkt kontaktiert? Das alles scheint ein bisschen verrückt.

UPDATE 2 : Dieses Problem wird von jemandem, den Radek Brich in den Avast-Foren als einfach selbstidentifizierend erklärt:

Hallo, ich werde nur ein bisschen mehr Informationen hinzufügen.

Die Datei wird vom MacOS-System erstellt und ist Teil des Diagnoseberichts "CPU-Auslastung". Der Bericht wird erstellt, weil Avast die CPU während des Scans stark beansprucht.

Die UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) kennzeichnet eine Bibliothek, die Teil der Avast Detections-Datenbank (algo.so) ist. Beim Inhalt der Datei handelt es sich um Debugging-Informationen, die aus der Bibliothek extrahiert wurden. Leider scheint dies eine Zeichenfolge zu enthalten, die im Gegenzug von Avast als Malware erkannt wird.

(Die "unhöflichen" Texte sind wahrscheinlich nur Namen von Malware.)