it-swarm.com.de

Avast unter macOS High Sierra gibt ein, das Windows-Virus „Cryptonight“ infiziert zu haben

Gestern habe ich mit meiner Avast-Antivirensoftware einen vollständigen Systemscan durchgeführt und eine Infektionsdatei gefunden. Der Speicherort der Datei ist:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast kategorisiert die Infektionsdatei als:

JS:Cryptonight [Trj]

Nach dem Löschen der Datei habe ich mehrere vollständige System-Scans durchgeführt, um festzustellen, ob noch weitere Dateien vorhanden sind. Ich habe nichts gefunden, bis ich heute mein MacBook Pro neu gestartet habe. Die Datei wurde am selben Speicherort erneut angezeigt. Also beschloss ich, Avast es in die Viren-Truhe legen zu lassen, den Laptop neu zu starten und die Datei wieder am selben Ort zu speichern. Daher erstellt der Virus die Datei bei jedem Neustart des Laptops neu.

Ich möchte vermeiden, den Laptop zu wischen und alles neu zu installieren, deshalb bin ich hier. Ich habe den Dateipfad und Cryptonight untersucht und festgestellt, dass Cryptonight bösartiger Code ist/sein kann, der im Hintergrund eines Computers ausgeführt werden kann, um die Kryptowährung zu ermitteln. Ich habe die CPU-Auslastung, den Arbeitsspeicher und das Netzwerk überwacht und keinen einzigen ungeraden Prozess ausgeführt. Meine CPU läuft unter 30%, mein RAM liegt im Allgemeinen unter 5 GB (installierte 16 GB), und in meinem Netzwerk wurden keine Prozesse zum Senden/Empfangen großer Datenmengen ausgeführt. Also, wenn etwas im Hintergrund Bergbau ist, kann ich überhaupt nicht sagen. Ich habe keine Ahnung, was ich tun soll.

Mein Avast führt jede Woche vollständige System-Scans durch, daher wurde dies erst kürzlich zu einem Problem in dieser Woche. Ich habe alle meine Chrome-Erweiterungen überprüft und nichts ist außer Betrieb. Ich habe in der letzten Woche nichts Besonderes heruntergeladen, außer dem neuen Mac-Betriebssystem (macOS High Sierra 10.13.1). Ich habe also keine Ahnung, woher das kommt, um ehrlich zu sein, und ich habe keine Ahnung, wie ich es loswerden soll. Kann mir bitte jemand weiterhelfen.

Ich vermute, dass dieser vermeintliche „Virus“ vom Apple-Update stammt und dass es sich lediglich um eine vorinstallierte Datei handelt, die jedes Mal erstellt und ausgeführt wird, wenn das Betriebssystem gestartet/neu gestartet wird. Aber ich bin mir nicht sicher, da ich nur ein MacBook besitze und niemand sonst, von dem ich weiß, dass er ein Mac hat, das Betriebssystem auf High Sierra aktualisiert hat. Avast bezeichnet dies jedoch weiterhin als potenziellen „Cryptonight“ -Virus, und niemand anderes hat online etwas zu diesem Problem veröffentlicht. Daher ist ein allgemeines Forum zum Entfernen von Viren in meiner Situation nicht hilfreich, da ich bereits versucht habe, es mit Avast, malwarebytes und manuell zu entfernen.

39
Lonely Twinky

Ziemlich sicher, dass keine Viren, Malware oder Trojaner im Spiel sind, und alles ist ein höchst zufälliges falsches Positiv.

Es ist höchstwahrscheinlich falsch positiv, da /var/db/uuidtext/ mit dem in macOS Sierra (10.2) eingeführten neuen Subsystem "Unified Logging" zusammenhängt. Wie dieser Artikel erklärt :

Der erste Dateipfad (/var/db/diagnostics/) enthält die Protokolldateien. Diese Dateien werden mit einem Zeitstempeldateinamen benannt, der dem Muster logdata.Persistent.YYYYMMDDTHHMMSS.tracev3 folgt. Bei diesen Dateien handelt es sich um Binärdateien, für deren Analyse wir unter macOS ein neues Dienstprogramm verwenden müssen. Dieses Verzeichnis enthält auch einige andere Dateien, einschließlich zusätzlicher Protokolldateien * .tracev3 und andere, die Protokollmetadaten enthalten. Der zweite Dateipfad (/var/db/uuidtext/) enthält Dateien, auf die in den Hauptprotokolldateien * .tracev3 verwiesen wird.

Aber in deinem Fall scheint die "Magie" vom Hash zu kommen:

BC8EE8D09234D99DD8B85A99E46C64

Schauen Sie sich einfach diese Referenz an für bekannte Windows-Malware-Dateien , die auf diesen einen bestimmten Hash verweist. Herzliche Glückwünsche! Ihr Mac hat auf magische Weise einen Dateinamen erstellt, der mit einem bekannten Vektor übereinstimmt, der hauptsächlich auf Windows-Systemen zu sehen ist. Sie sind jedoch auf einem Mac und dieser Dateiname ist nur ein Hash, der mit der Dateistruktur des Datenbanksystems „Unified Logging“ verbunden ist Es ist völlig zufällig, dass es mit dem Malware-Dateinamen übereinstimmt und nichts bedeuten sollte.

Und der Grund, warum sich eine bestimmte Datei zu regenerieren scheint, basiert auf diesem Detail aus der obigen Erklärung:

Der zweite Dateipfad (/var/db/uuidtext/) enthält Dateien, auf die in den Hauptprotokolldateien * .tracev3 verwiesen wird.

Sie löschen also die Datei in /var/db/uuidtext/, aber alles, was es ist, ist ein Verweis auf das, was sich in /var/db/diagnostics/ befindet. Wenn Sie also neu starten, wird es als fehlend erkannt und in /var/db/uuidtext/ neu erstellt.

Was ist jetzt zu tun? Nun, Sie können entweder die Avast-Warnungen tolerieren oder ein Cache-Bereinigungstool wie Onyx herunterladen und die Neuerstellung der Protokolle erzwingen, indem Sie sie wirklich aus Ihrem System entfernen. nicht nur diese eine BC8EE8D09234D99DD8B85A99E46C64 Datei. Es ist zu hoffen, dass die Hash-Namen der Dateien, die nach einer vollständigen Bereinigung neu generiert werden, nicht versehentlich wieder mit einer bekannten Malware-Datei übereinstimmen.


UPDATE 1 : Es scheint, dass Avast-Mitarbeiter das Problem anerkennen in diesem Beitrag in ihren Foren :

Ich kann bestätigen, dass dies falsch positiv ist. Der Beitrag auf superuser.com beschreibt das Problem recht gut. Offenbar hat MacOS versehentlich eine Datei erstellt, die Fragmente eines böswilligen Cryptocurrency Miner enthält, die zufällig auch eine unserer Erkennungen auslösen.

Was an dieser Aussage wirklich seltsam ist, ist der Satz: „… MacOS scheint versehentlich eine Datei erstellt zu haben, die Fragmente eines böswilligen Cryptocurrency Miner enthält.

Was? Bedeutet dies, dass jemand aus dem Kernteam der MacOS-Softwareentwicklung bei Apple das System „versehentlich“ so eingerichtet hat, dass es kastrierte Fragmente eines bekannten bösartigen Cryptocurrency-Miners generiert? Hat jemand Apple diesbezüglich direkt kontaktiert? Das alles scheint ein bisschen verrückt.


UPDATE 2 : Dieses Problem wird weiter von jemandem erklärt, den Radek Brich in den Avast-Foren als Avast identifiziert sich einfach selbst:

Hallo, ich werde nur ein bisschen mehr Informationen hinzufügen.

Die Datei wird vom MacOS-System erstellt und ist Teil des Diagnoseberichts "CPU-Auslastung". Der Bericht wird erstellt, weil Avast die CPU während des Scans stark beansprucht.

Die UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) kennzeichnet eine Bibliothek, die Teil der Avast Detections-Datenbank (algo.so) ist. Beim Inhalt der Datei handelt es sich um Debugging-Informationen, die aus der Bibliothek extrahiert wurden. Leider scheint dies eine Zeichenfolge zu enthalten, die im Gegenzug von Avast als Malware erkannt wird.

(Die "unhöflichen" Texte sind wahrscheinlich nur Namen von Malware.)

67
JakeGould