Avast no macOS High Sierra afirma ter capturado o vírus “Cryptonight” somente para Windows

39

Ontem eu executei uma verificação completa do sistema usando meu software antivírus Avast e ele encontrou um arquivo de infecção. A localização do arquivo é:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

O Avast categoriza o arquivo de infecção como:

JS:Cryptonight [Trj]

Então, depois de excluir o arquivo, fiz várias varreduras de sistema mais completas para verificar se havia mais arquivos. Eu não encontrei nada, até que eu reiniciei o meu macbook pro hoje. O arquivo reapareceu no mesmo local. Então eu decidi deixar Avast colocá-lo no peito de vírus, reiniciei o laptop e novamente o arquivo estava no mesmo local novamente. Portanto, o vírus está recriando o arquivo a cada reinicialização do laptop.

Eu quero evitar limpar o laptop e reinstalar tudo, e é por isso que estou aqui. Eu pesquisei o caminho do arquivo e cryptonight e descobri que cryptonight é / pode ser um código malicioso que pode ser executado no fundo do computador de alguém para minha criptomoeda. Tenho monitorado meu uso de CPU, memória e rede e não vi nenhum processo estranho em execução. Minha CPU está funcionando abaixo de 30%, minha memória RAM está geralmente abaixo de 5 GB (instalada 16 GB) e minha rede não teve nenhum processo enviando / recebendo grande quantidade de dados. Então, se algo está minando em segundo plano, não posso dizer nada. Eu não tenho ideia do que fazer.

Meu Avast executa varreduras completas do sistema toda semana, então isso só recentemente se tornou uma questão esta semana. Eu verifiquei todas as minhas extensões de cromo e nada está fora de ordem, eu não baixei nada de especial na semana passada, além do novo sistema operacional Mac (macOS High Sierra 10.13.1). Então eu não tenho idéia de onde isso veio para ser honesto e não tenho idéia de como me livrar dele. Alguém por favor pode me ajudar.

Eu suspeito que esse suposto "vírus" está vindo da atualização da Apple e que é apenas um arquivo pré-instalado que é criado e executado toda vez que o sistema operacional é inicializado / reinicializado. Mas eu não tenho certeza, pois eu só tenho um MacBook e ninguém mais que eu sei que tem um mac atualizou o sistema operacional para High Sierra. Mas Avast continua rotulando isso como um potencial "Cryptonight" vírus e ninguém mais on-line postou nada sobre esse problema. Portanto, um fórum comum de remoção de vírus não é útil na minha situação, pois eu já tentei removê-lo com o Avast, o malwarebytes e manualmente.

    
por Lonely Twinky 26.11.2017 / 04:03

1 resposta

65

Tenho certeza de que não há vírus, malware ou trojan sendo reproduzidos, e todos os falsos positivos são altamente coincidentes.

É mais provável que seja um falso positivo, pois /var/db/uuidtext/ está relacionado ao novo subsistema "Log unificado" que foi introduzido no macOS Sierra (10.2). Como este artigo explica :

The first file path (/var/db/diagnostics/) contains the log files. These files are named with a timestamp filename following the pattern logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. These files are binary files that we’ll have to use a new utility on macOS to parse them. This directory contains some other files as well including additional log *.tracev3 files and others that contain logging metadata. The second file path (/var/db/uuidtext/) contains files that are references in the main *.tracev3 log files.

Mas, no seu caso, a "mágica" parece vir do hash:

BC8EE8D09234D99DD8B85A99E46C64

Basta verificar esta referência para arquivos de malware conhecidos do Windows que fazem referência a um hash específico. Parabéns! Seu Mac criou magicamente um nome de arquivo que corresponde a um vetor conhecido que foi visto principalmente em sistemas Windows… Mas você está em um Mac e este nome de arquivo é apenas um hash conectado à estrutura de arquivos do sistema de banco de dados “Unified Logging”. É totalmente coincidência que ele corresponda ao nome do arquivo do malware e não signifique nada.

E o motivo pelo qual esse arquivo específico parece se regenerar é baseado nesse detalhe da explicação acima:

The second file path (/var/db/uuidtext/) contains files that are references in the main *.tracev3 log files.

Assim, você exclui o arquivo em /var/db/uuidtext/ , mas tudo o que é é uma referência ao que está em /var/db/diagnostics/ . Então, quando você reiniciar, verá que está faltando e o recria em /var/db/uuidtext/ .

Quanto ao que fazer agora? Bem, você pode tolerar os alertas do Avast ou fazer o download de uma ferramenta de limpeza do cache, como Onyx e apenas forçar os logs a serem recriados, eliminando-os verdadeiramente do seu sistema; não apenas aquele arquivo BC8EE8D09234D99DD8B85A99E46C64 . Espero que os nomes hash dos arquivos que ele regenera depois de uma limpeza completa não correspondam acidentalmente a um arquivo de malware conhecido novamente.

UPDATE 1 : Parece que a equipe da Avast reconhece o problema este post em seus fóruns :

I can confirm this is a false positive. The superuser.com post describes the issue quite well - MacOS seems to have accidentally created a file that contains fragments of malicious cryptocurrency miner which also happen to trigger one of our detections.

Agora, o que é realmente estranho nessa declaração é a frase: “… O MacOS parece ter criado acidentalmente um arquivo que contém fragmentos de minerador de criptomoedas malicioso.

O que? Isso implica que alguém na equipe principal de desenvolvimento de software do MacOS na Apple de alguma forma “acidentalmente” configurou o sistema para gerar fragmentos castrados de um minerador de criptomoedas malicioso? Alguém entrou em contato diretamente com a Apple sobre isso? Isso tudo parece um pouco louco.

UPDATE 2 : Este problema é explicado por alguém chamado Radek Brich os fóruns do Avast como simplesmente se auto-identificando com o Avast:

Hello, I'll just add a bit more information.

The file is created by MacOS system, it's actually part of "cpu usage" diagnostic report. The report is created because Avast uses the CPU heavily during the scan.

The UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifies a library which is a part of Avast detections DB (algo.so). The content of the file is debugging information extracted from the library. Unfortunately, this seems to contain a string which is in return detected by Avast as a malware.

(The "rude" texts are probably just names of malware.)

    
por 26.11.2017 / 05:30