O Avast no macOS High Sierra alega que pegou o vírus “Cryptonight” somente para Windows

39

Ontem, executei uma verificação completa do sistema usando meu software antivírus Avast e ele encontrou um arquivo de infecção. A localização do arquivo é:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

O Avast categoriza o arquivo de infecção como:

JS:Cryptonight [Trj]

Então, depois de excluir o arquivo, fiz várias varreduras completas no sistema para verificar se havia mais arquivos. Não encontrei nada até reiniciar o meu macbook pro hoje. O arquivo reapareceu no mesmo local. Então decidi deixar o Avast colocá-lo no baú do vírus, reiniciei o laptop e, novamente, o arquivo estava no mesmo local novamente. Portanto, o vírus está recriando o arquivo a cada reinicialização do laptop.

Quero evitar limpar o laptop e reinstalar tudo, por isso estou aqui. Eu pesquisei o caminho do arquivo e a cryptonight e descobri que a cryptonight é / pode ser um código malicioso que pode ser executado no fundo do computador de alguém para minerar a criptomoeda. Eu tenho monitorado o uso da CPU, memória e rede e não vi nenhum processo estranho em execução. Minha CPU está executando abaixo de 30%, minha RAM geralmente está abaixo de 5 GB (instalado 16 GB) e minha rede não teve nenhum processo enviando / recebendo grande quantidade de dados. Então, se algo está sendo minerado em segundo plano, não sei dizer. Eu não tenho ideia do que fazer.

Meu Avast executa verificações completas do sistema todas as semanas, então isso se tornou um problema recentemente. Verifiquei todas as minhas extensões do Chrome e nada está errado, não baixei nada de especial na semana passada, além do novo sistema operacional Mac (macOS High Sierra 10.13.1). Portanto, não tenho idéia de onde isso veio para ser honesto e não tenho idéia de como me livrar disso. Alguém por favor pode me ajudar.

Suspeito que esse suposto "vírus" venha da atualização da Apple e que seja apenas um arquivo pré-instalado criado e executado sempre que o sistema operacional for inicializado / reiniciado. Mas não tenho certeza, pois só tenho um MacBook e mais ninguém que conheço que tenha um mac atualizou o sistema operacional para High Sierra. Mas a Avast continua rotulando isso como um potencial vírus "Cryptonight" e ninguém mais online postou nada sobre esse problema. Portanto, um fórum comum de remoção de vírus não é útil na minha situação, pois já tentei removê-lo com o Avast, com malwarebytes e manualmente.

Solitário Twinky
fonte
5
Provavelmente é um falso positivo.
JakeGould
11
É para isso que chego à conclusão, mas quero ter certeza de que é isso que é.
precisa
5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64Parece ser um número mágico! Veja minha resposta para detalhes .
JakeGould
2
@bcrist O algoritmo por si só é independente da plataforma, mas os únicos mineradores de Mac que posso encontrar que usam o Cryptonight não são JavaScript; todos eles são claramente binários no nível do sistema como este . Mais detalhes sobre as implementações C aqui e aqui . Se isso fosse uma ameaça puramente JavaScript, os usuários do Linux também estariam reclamando. Além disso, os Macs têm placas de vídeo horríveis por padrão, por isso são péssimas mineradoras de moedas.
JakeGould
3
Entrei em contato com a Avast sobre o arquivo ser um falso positivo, publicarei uma atualização sobre a resposta deles sempre que eles entrarem em contato comigo.
Lonely Twinky

Respostas:

67

Certamente não há vírus, malware ou trojan em jogo e o dele é um falso positivo altamente coincidente.

Provavelmente, é um falso positivo, pois /var/db/uuidtext/está relacionado ao novo subsistema "Registro unificado" que foi introduzido no macOS Sierra (10.2). Como este artigo explica :

O primeiro caminho do arquivo ( /var/db/diagnostics/) contém os arquivos de log. Esses arquivos são nomeados com um nome de arquivo de carimbo de data / hora seguindo o padrão logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Esses arquivos são binários que precisaremos usar um novo utilitário no macOS para analisá-los. Esse diretório também contém alguns outros arquivos, incluindo arquivos log * .tracev3 adicionais e outros que contêm metadados de log. O segundo caminho do arquivo ( /var/db/uuidtext/) contém arquivos que são referências nos principais arquivos de log * .tracev3.

Mas no seu caso, a "mágica" parece vir do hash:

BC8EE8D09234D99DD8B85A99E46C64

Basta verificar esta referência para obter arquivos de malware conhecidos do Windows que referenciam um hash específico. Parabéns! Seu Mac criou magicamente um nome de arquivo que corresponde a um vetor conhecido que foi visto principalmente em sistemas Windows ... Mas você está em um Mac e esse nome de arquivo é apenas um hash conectado à estrutura de arquivos do sistema de banco de dados “Unified Logging” e é Por coincidência, coincide com o nome do arquivo do malware e não deve significar nada.

E a razão pela qual o arquivo específico parece se regenerar é baseada nesses detalhes da explicação acima:

O segundo caminho do arquivo ( /var/db/uuidtext/) contém arquivos que são referências nos principais arquivos de log * .tracev3.

Então você exclui o arquivo /var/db/uuidtext/, mas tudo o que é é uma referência ao que está dentro /var/db/diagnostics/. Então, quando você reinicia, ele vê que está faltando e o recria /var/db/uuidtext/.

Quanto ao que fazer agora? Bem, você pode tolerar os alertas do Avast ou fazer o download de uma ferramenta de limpeza de cache, como o Onyx, e apenas forçar a recriação dos logs, removendo-os do seu sistema; não apenas aquele BC8EE8D09234D99DD8B85A99E46C64arquivo. Esperamos que os nomes de hash dos arquivos que ele regenere após uma limpeza completa não coincidam acidentalmente com um arquivo de malware conhecido novamente.


ATUALIZAÇÃO 1 : Parece que a equipe da Avast reconhece o problema neste post em seus fóruns :

Posso confirmar que este é um falso positivo. A publicação do superuser.com descreve muito bem o problema - o MacOS parece ter acidentalmente criado um arquivo que contém fragmentos de minerador de criptomoeda malicioso que também acionam uma de nossas detecções.

Agora, o que é realmente estranho nessa declaração é a frase: “ … O MacOS parece ter criado acidentalmente um arquivo que contém fragmentos do minerador de criptomoeda malicioso. "

O que? Isso significa que alguém da equipe de desenvolvimento de software macOS da Apple de alguma forma "acidentalmente" configurou o sistema para gerar fragmentos castrados de um minerador de criptomoeda malicioso conhecido? Alguém já entrou em contato com a Apple diretamente sobre isso? Tudo isso parece um pouco louco.


ATUALIZAÇÃO 2 : Esse problema é explicado ainda mais por alguém dos fóruns da Avast Radek Brich como simplesmente a própria identificação da Avast:

Olá, vou adicionar um pouco mais de informação.

O arquivo é criado pelo sistema MacOS, na verdade faz parte do relatório de diagnóstico "uso da CPU". O relatório é criado porque o Avast usa muito a CPU durante a verificação.

O UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifica uma biblioteca que faz parte do banco de dados de detecção do Avast (algo.so). O conteúdo do arquivo está depurando informações extraídas da biblioteca. Infelizmente, isso parece conter uma string que, em troca, é detectada pelo Avast como um malware.

(Os textos "rudes" provavelmente são apenas nomes de malware.)

JakeGould
fonte
4
Obrigado pela explicação, você realmente é um salvador. Muito bem explicado também.
Twinky solitário 26/11
16
Uau. Em uma nota relacionada, você deve investir em um bilhete de loteria! Esse tipo de "sorte" não deveria ser "uma vez na vida", deveria ser "uma vez na vida inteira do universo, do big bang à morte por calor".
precisa
14
Espere o que? Que algoritmo de hash é esse? Se é mesmo um antigo criptográfico, temos o equivalente a resolver aleatoriamente um segundo ataque de pré-imagem e merece muito mais reconhecimento.
Joshua
3
@ Joshuaua Talvez um engenheiro da Apple seja um colaborador de malware e deixe algum código de geração de hash entrar no código de "trabalho diurno"? Isso não seria um chute na cabeça!
JakeGould
6
@JohnDvorak O caminho completo é /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, então o nome do arquivo pode ser apenas os últimos 120 bits de um hash de 128 bits (sendo os 8 primeiros 7B). Isso não significa necessariamente que é um hash criptográfico, mas o comprimento corresponde ao MD5.
Matthew Crumley