Avast auf macOS High Sierra behauptet, er habe den Windows-Only-Virus „Cryptonight“ entdeckt

12862
Lonely Twinky

Gestern habe ich mit meiner Avast-Antivirensoftware einen vollständigen Systemscan durchgeführt und eine Infektionsdatei gefunden. Der Speicherort der Datei lautet:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64 

Avast kategorisiert die Infektionsdatei als:

JS:Cryptonight [Trj] 

Nachdem ich die Datei gelöscht hatte, führte ich mehrere vollständige Systemprüfungen durch, um zu prüfen, ob noch weitere Dateien vorhanden waren. Ich habe nichts gefunden, bis ich heute mein Macbook Pro neu gestartet habe. Die Datei wurde am selben Speicherort erneut angezeigt. Also entschloss ich mich, Avast in die Viren-Truhe zu stecken, den Laptop neu zu starten und die Datei befand sich wieder am selben Ort. Daher erstellt der Virus die Datei bei jedem Neustart des Laptops neu.

Ich möchte vermeiden, den Laptop abzuwischen und alles neu zu installieren, deshalb bin ich hier. Ich habe den Dateipfad und das Cryptonight untersucht und herausgefunden, dass Cryptonight bösartiger Code ist / sein kann, der im Hintergrund eines Computers ausgeführt werden kann, um die Kryptowährung abzubauen. Ich habe die CPU-Auslastung, den Speicher und das Netzwerk überwacht, und es ist noch kein einzelner ungerader Prozess ausgeführt worden. Meine CPU läuft unter 30%, mein Arbeitsspeicher ist im Allgemeinen unter 5 GB (16 GB installiert), und in meinem Netzwerk gab es keine Prozesse, die große Datenmengen versenden / empfangen. Wenn also im Hintergrund etwas abgebaut wird, kann ich es überhaupt nicht sagen. Ich habe keine Ahnung, was ich tun soll.

Mein Avast führt jede Woche vollständige Systemprüfungen durch, daher wurde diese Woche kürzlich zu einem Problem. Ich habe alle meine Chrome-Erweiterungen überprüft und nichts ist außer Betrieb. Ich habe in der letzten Woche nichts Besonderes heruntergeladen, außer dem neuen Mac-Betriebssystem (macOS High Sierra 10.13.1). Ich habe also keine Ahnung, woher das stammt, um ehrlich zu sein, und ich habe keine Ahnung, wie ich es loswerden kann. Kann mir bitte jemand helfen?

Ich vermute, dass dieser vermeintliche "Virus" vom Apple-Update stammt und dass es sich lediglich um eine vorinstallierte Datei handelt, die erstellt wird und bei jedem Neustart des Betriebssystems ausgeführt wird. Aber ich bin nicht sicher, da ich nur ein MacBook habe und niemand anderes, von dem ich weiß, dass ein Mac das Betriebssystem auf High Sierra aktualisiert hat. Avast bezeichnet dies jedoch weiterhin als potenziellen "Cryptonight" -Virus, und niemand sonst online hat etwas zu diesem Problem veröffentlicht. Daher ist ein allgemeines Forum zum Entfernen von Viren in meiner Situation nicht hilfreich, da ich bereits versucht habe, es sowohl mit Avast als auch mit Malwarebytes und manuell zu entfernen.

39
Es ist höchstwahrscheinlich ein falsches Positiv. JakeGould vor 6 Jahren 5
Ich komme zu dem Schluss, aber ich möchte, dass es so ist. Lonely Twinky vor 6 Jahren 1
@LonelyTwinky `BC8EE8D09234D99DD8B85A99E46C64` Scheint eine magische Zahl zu sein! [Details finden Sie in meiner Antwort] (https://superuser.com/a/1271775/167207). JakeGould vor 6 Jahren 5
Warum denken Sie, dass Kryptonacht nur für Windows gilt? Nach einem vorläufigen Googeln von "JS: Cryptonight" habe ich den Eindruck, dass es plattformunabhängig ist. Es ist ein "Trojaner" von asm.js, der von einigen Websites verwendet wird, um die CPU-Zeit zu stehlen, während Sie ihre Seiten besuchen, und um Kryptowährung zu ermitteln. Nichts davon ist Windows-spezifisch. bcrist vor 6 Jahren 1
@bcrist Der Algorithmus alleine ist plattformunabhängig, aber die einzigen Mac-Miner, die ich finden kann, die Cryptonight verwenden, sind kein JavaScript. Sie sind alle eindeutig Binärdateien auf Systemebene [wie diese] (https://github.com/xbbricker/ccminer-cryptonight-mac). Weitere Informationen zu den C-Implementierungen [hier] (https://cryptonote.org/inside.php#equal-proof-of-work-) und [hier] (https://github.com/cryptonotefoundation/cryptonote). Wenn dies nur eine JavaScript-Bedrohung wäre, würden sich auch Linux-Benutzer beschweren. Außerdem haben Macs standardmäßig schreckliche Grafikkarten, so dass sie schreckliche Minenarbeiter sind. JakeGould vor 6 Jahren 2
Ich habe Avast wegen eines falschen Positivs kontaktiert. Ich werde ein Update zu ihrer Antwort posten, sobald sie mich kontaktieren. Lonely Twinky vor 6 Jahren 3
Gut, dass Sie Avast kontaktiert haben. Avast-Mitarbeiter: Beachten Sie, dass, bevor diese Frage "geschützt" wurde, 4 "Ich auch" -Posten bereits gelöscht wurden und 3 Duplikate ebenfalls geschlossen wurden, während diese Frage bereits 4,7k-Aufrufe hat. Anmerkung 1 in einem gelöschten Beitrag heißt auch: "Ich verwende macOS High Sierra 10.13.1, wurde aber erst aktualisiert, nachdem Avast die Datei erkannt hatte. Daher kam sie nicht aus dem Update." Arjan vor 6 Jahren 0

1 Antwort auf die Frage

65
JakeGould

Es ist ziemlich sicher, dass keine Viren, Malware oder Trojaner im Spiel sind, und dies ist alles sehr zufällig falsch positiv.

Dies ist höchstwahrscheinlich ein falsches positives Ergebnis, da /var/db/uuidtext/es mit dem neuen Subsystem "Unified Logging" zusammenhängt, das in macOS Sierra (10.2) eingeführt wurde. Wie dieser Artikel erklärt :

Der erste Dateipfad ( /var/db/diagnostics/) enthält die Protokolldateien. Diese Dateien werden nach dem Muster mit einem Zeitstempel-Dateinamen benannt logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Diese Dateien sind Binärdateien, die wir unter macOS verwenden müssen, um sie zu analysieren. Dieses Verzeichnis enthält einige andere Dateien, einschließlich zusätzlicher * .tracev3-Protokolldateien und andere, die Protokollierungsmetadaten enthalten. Der zweite Dateipfad ( /var/db/uuidtext/) enthält Dateien, die Verweise in den Hauptprotokolldateien von * .tracev3 sind.

Aber in Ihrem Fall scheint die "Magie" vom Hash zu kommen:

BC8EE8D09234D99DD8B85A99E46C64 

Schauen Sie sich diese Referenz für bekannte Windows-Malware-Dateien an, die auf einen bestimmten Hash verweisen. Herzliche Glückwünsche! Ihr Mac hat auf magische Weise einen Dateinamen erstellt, der mit einem bekannten Vektor übereinstimmt, der hauptsächlich auf Windows-Systemen zu sehen ist. Aber Sie sind auf einem Mac und dieser Dateiname ist nur ein Hash, der mit der Dateistruktur des Datenbanksystems „Unified Logging“ verbunden ist Es ist völlig zufällig, dass er mit dem Dateinamen der Malware übereinstimmt und nichts bedeuten soll.

Der Grund, warum sich eine bestimmte Datei zu regenerieren scheint, beruht auf diesem Detail aus der obigen Erklärung:

Der zweite Dateipfad ( /var/db/uuidtext/) enthält Dateien, die Verweise in den Hauptprotokolldateien von * .tracev3 sind.

Sie löschen also die Datei /var/db/uuidtext/, aber alles, was es ist, ist ein Verweis auf das, was sich darin befindet /var/db/diagnostics/. Wenn Sie also einen Neustart durchführen, sieht es aus und erstellt es neu /var/db/uuidtext/.

Was soll ich jetzt tun? Nun, Sie können entweder die Avast-Alarme tolerieren oder ein Cache-Bereinigungstool wie Onyx herunterladen und die Protokolle einfach neu erstellen, indem Sie sie wirklich aus Ihrem System löschen. nicht nur diese eine BC8EE8D09234D99DD8B85A99E46C64Datei. Hoffentlich stimmen die Hash-Namen der Dateien, die nach einer vollständigen Reinigung wiederhergestellt werden, nicht erneut mit einer bekannten Malware-Datei überein.


UPDATE 1 : Die Mitarbeiter von Avast scheinen das Thema in diesem Beitrag in ihren Foren anzuerkennen :

Ich kann bestätigen, dass dies ein falsch positives Ergebnis ist. Der Beitrag von superuser.com beschreibt das Problem ziemlich gut - MacOS scheint versehentlich eine Datei erstellt zu haben, die Fragmente eines bösartigen Kryptowährungs-Miners enthält, der ebenfalls eine unserer Erkennungen auslöst.

Das Seltsame an dieser Aussage ist der Satz: „ … MacOS scheint versehentlich eine Datei erstellt zu haben, die Fragmente eines bösartigen Kryptowährungs-Miners enthält.

Was? Bedeutet dies, dass jemand aus dem macOS Software-Entwicklungsteam bei Apple irgendwie "versehentlich" das System so eingerichtet hat, dass es kernfremde Fragmente eines bekannten bösartigen Kryptowährungs-Miners erzeugt? Hat sich jemand direkt mit Apple in Verbindung gesetzt? Das alles wirkt ein bisschen verrückt.


UPDATE 2 : Dieses Problem wird von jemandem, der von Radek Brich den Avast-Foren als Avast-Selbstidentifikation bezeichnet wird, näher erläutert :

Hallo, ich füge noch ein bisschen mehr Informationen hinzu.

Die Datei wird vom MacOS-System erstellt. Sie ist eigentlich Teil des Diagnoseberichts zur CPU-Nutzung. Der Bericht wird erstellt, weil Avast die CPU während des Scans stark beansprucht.

Die UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifiziert eine Bibliothek, die Teil des Avast-Erkennungs-DB (algo.so) ist. Der Inhalt der Datei enthält Informationen zur Fehlersuche, die aus der Bibliothek extrahiert wurden. Leider scheint dies eine Zeichenfolge zu enthalten, die im Gegenzug von Avast als Malware erkannt wird.

(Die "unhöflichen" Texte sind wahrscheinlich nur Namen von Malware.)

Vielen Dank für die Erklärung, Sie sind wirklich ein Retter. Sehr gut erklärt. Lonely Twinky vor 6 Jahren 4
Beeindruckend. In diesem Zusammenhang sollten Sie in ein Lottoticket investieren! Diese Art von "Glück" soll nicht "einmal im Leben" sein, sondern "einmal im gesamten Leben des Universums, vom Urknall bis zum Hitzetod". Cort Ammon vor 6 Jahren 15
Warte was? Welcher Hash-Algorithmus ist das? Wenn es sich sogar um ein altes kryptografisches Verfahren handelt, haben wir das Äquivalent einer zufälligen Lösung eines zweiten Angriffs vor dem Bild und verdienen viel mehr Anerkennung. Joshua vor 6 Jahren 13
@Joshua Möglicherweise leistet ein Apple-Ingenieur einen Beitrag zu Malware und lässt einige Hash-Generierungscodes in ihren "Day-Job" -Code schlüpfen? Wäre das nicht ein Tritt in den Kopf! JakeGould vor 6 Jahren 3
@Joshua eine Chance, es ist überhaupt kein kryptographischer Hash, aber eher mit Javas String-Hash? Zeichenfolge als Basis- (dreistellige Zahl) Modulo (neunstellige Zahl). Beachten Sie auch, dass dieser Hash nur 30 Nibbles long = 120 Bit ist. Anständig, aber für die kryptographische Verwendung nicht ausreichend, und die ungerade Länge lässt vermuten, dass es sich um eine Spezialanfertigung handelt. John Dvorak vor 6 Jahren 3
@JohnDvorak Der vollständige Pfad lautet `/ private / var / db / uuidtext / 7B / BC8EE8D09234D99DD8B85A99E46C64`, daher könnte der Dateiname nur die letzten 120 Bits eines 128-Bit-Hashs sein (die ersten 8 sind '7B'). Das bedeutet nicht unbedingt, dass es sich um einen kryptographischen Hash handelt, aber die Länge stimmt mit MD5 überein. Matthew Crumley vor 6 Jahren 6
@ CortAmmon ziemlich viel Glück für eine Datei auf einem PC auf einem Virus, aber ich habe eine schnelle und schmutzige Berechnung (3.6M-Dateien auf meinem PC, 2B-PCs, ~ 29.5M-Viren-Hashes) durchgeführt und 1/10 ^ 13 Chance bekommen Von einer Kollision (einer von zehn Billionen - immer noch beeindruckend) und angesichts der unvollständigen Verteilung von md5 würde ich davon ausgehen, dass dies noch weiter nach unten geht, obwohl ich nicht sicher bin, wie ich diesen Teil berücksichtigen soll. Kevin vor 6 Jahren 1
@Kevin Nun, kannst du eine andere Erklärung dafür geben? JakeGould vor 6 Jahren 0
Nizza finden Sie diesen Forumspost. Inzwischen wird auch Folgendes erklärt: _Die Datei wird vom MacOS-System erstellt. Sie ist eigentlich Teil des Diagnoseberichts "CPU-Nutzung". Der Bericht wird erstellt, weil Avast die CPU während des Scans stark beansprucht. Die UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifiziert eine Bibliothek, die Teil des Avast-Erkennungs-DB (algo.so) ist. Der Inhalt der Datei enthält Informationen zur Fehlersuche, die aus der Bibliothek extrahiert wurden. Leider scheint dies eine Zeichenfolge zu enthalten, die im Gegenzug von Avast als Malware erkannt wird. _ Und: _issue hat einige Fehler durchlaufen, die eine Erkennung auslösen könnten _ :-) cc @Joshua Arjan vor 6 Jahren 1