macOS High Sierraのアバストは、Windows専用の「Cryptonight」ウイルスをキャッチしたと主張しています


39

昨日、アバストウイルス対策ソフトウェアを使用してシステム全体のスキャンを実行しましたが、感染ファイルが見つかりました。ファイルの場所は次のとおりです。

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

アバストは、感染ファイルを次のように分類します。

JS:Cryptonight [Trj]

そのため、ファイルを削除した後、さらにシステム全体をスキャンして、ファイルがまだあるかどうかを確認しました。今日、Macbook Proを再起動するまで、何も見つかりませんでした。ファイルは同じ場所に再表示されました。そこで、アバストにウイルスを入れてラップトップを再起動させ、再びファイルを同じ場所に置くことにしました。そのため、ウイルスはラップトップを再起動するたびにファイルを再作成します。

私はラップトップを拭いてすべてを再インストールすることを避けたいので、ここにいるのはそのためです。私はファイルパスと暗号夜を調査し、暗号夜は誰かのコンピューターのバックグラウンドで実行して暗号通貨をマイニングできる悪意のあるコードであることを発見しました。CPU使用率、メモリ、およびネットワークを監視していますが、1つの奇妙なプロセスが実行されていることはありません。CPUは30%未満で実行され、RAMは一般に5GB(インストール済み16GB)未満であり、ネットワークには大量のデータを送受信するプロセスがありません。そのため、バックグラウンドで何かが採掘されている場合は、まったくわかりません。何をすればいいのかわかりません。

私のアバストは毎週フルシステムスキャンを実行しているため、今週これが最近問題になりました。すべてのchrome拡張機能をチェックしましたが、何も故障していません。過去1週間、新しいMacオペレーティングシステム(macOS High Sierra 10.13.1)以外に特別なものをダウンロードしていません。だから私はこれが正直であるためにどこから来たのか見当もつかないし、どうやってそれを取り除くのか見当もつかない。誰か助けてください。

この「ウイルス」と思われるものはAppleのアップデートによるものであり、OSが起動/再起動されるたびに作成され実行されるプレインストールファイルであると思われます。しかし、MacBookは1つしかなく、MacがOSをHigh Sierraに更新したことを知っている人は誰もいないので、私は確信がありません。しかし、アバストはこれを潜在的な「Cryptonight」ウイルスとラベル付けし続けており、この問題に関してオンラインで誰も投稿していません。したがって、Avast、malwarebytes、および手動の両方で削除しようとしたことがあるため、一般的なウイルス削除フォーラムは私の状況では役に立ちません。


5
ほとんどの場合、誤検知です。
-JakeGould

1
それが私が結論に近づいていることですが、私はそれがそうであるように安心感が欲しいです。
ロンリートゥインキー

5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64はマジックナンバーのようです!詳細については私の答えをご覧ください
-JakeGould

2
@bcristアルゴリズムだけではプラットフォームに依存しませんが、Cryptonightを使用していることがわかるMacマイナーはJavaScriptだけではありません。これらはすべて、明らかにこのようなシステムレベルのバイナリです。ここここの C実装の詳細。これが純粋にJavaScriptの脅威である場合、Linuxユーザーも苦情を言うでしょう。その上、Macにはデフォルトで恐ろしいビデオカードが搭載されているため、ひどいコインマイナーになります。
-JakeGould

3
ファイルが誤検知であるとアバストに連絡しました。連絡があるたびに、応答について更新を投稿します。
ロンリートゥインク

回答:


67

ウイルス、マルウェア、またはトロイの木馬がまったく動作しておらず、それらはすべて非常に偶然の誤検知であると確信しています。

これ/var/db/uuidtext/は、macOS Sierra(10.2)で導入された新しい「Unified Logging」サブシステムに関連しているため、おそらく誤検知です。同様に、この記事では説明

最初のファイルパス(/var/db/diagnostics/)にはログファイルが含まれています。これらのファイルには、パターンに続くタイムスタンプファイル名が付けられますlogdata.Persistent.YYYYMMDDTHHMMSS.tracev3。これらのファイルはバイナリファイルであり、macOSの新しいユーティリティを使用して解析する必要があります。このディレクトリには、追加のログ* .tracev3ファイルやロギングメタデータを含むその他のファイルが含まれます。2番目のファイルパス(/var/db/uuidtext/)には、メインの* .tracev3ログファイルで参照されるファイルが含まれます。

しかし、あなたの場合、「魔法」はハッシュから来ているようです:

BC8EE8D09234D99DD8B85A99E46C64

特定のハッシュを参照する既知のWindowsマルウェアファイルについてはこのリファレンスご覧ください。おめでとうございます!お使いのMacは、主にWindowsシステムで見られる既知のベクトルに一致するファイル名を魔法のように作成しました…しかし、あなたはMac上にあり、このファイル名は「Unified Logging」データベースシステムのファイル構造に接続された単なるハッシュであり、マルウェアのファイル名と一致することとまったく意味がないことは完全に偶然です。

そして、特定のファイルが再生成されるように見える理由は、上記の説明からのこの詳細に基づいています。

2番目のファイルパス(/var/db/uuidtext/)には、メインの* .tracev3ログファイルで参照されるファイルが含まれます。

だからあなたはファイルを削除しますが/var/db/uuidtext/、それはすべてにあるものへの参照/var/db/diagnostics/です。したがって、再起動すると、不足していることがわかり、で再作成され/var/db/uuidtext/ます。

今何をすべきか?まあ、アバストアラートを許容するか、Onyxなどのキャッシュクリーニングツールをダウンロードして、システムからログを完全に削除することでログを強制的に再作成できます。1つのBC8EE8D09234D99DD8B85A99E46C64ファイルだけではありません。完全なクリーニング後に再生成されるファイルのハッシュ名が、既知のマルウェアファイルと誤って再び一致しないことを願っています。


更新1:アバストスタッフは、フォーラムのこの投稿で問題認めているようです

これが誤検知であることを確認できます。superuser.comの投稿はこの問題を非常によく説明しています-MacOSが悪意のある暗号通貨マイナーのフラグメントを含むファイルを誤って作成したようです。

このステートメントについて本当に奇妙なのは、「…MacOSが誤って悪意のある暗号通貨マイナーの断片を含むファイルを作成したようです」というフレーズです。

何?これは、アップルのコアmacOSソフトウェア開発チームの誰かが何らかの方法でシステムを「偶然」セットアップして、既知の悪意のある暗号通貨マイナーの去勢されたフラグメントを生成することを意味していますか?誰かがこれについてアップルに直接連絡しましたか?これは少しおかしいようです。


更新2:この問題は、Avastフォーラムを単に自分自身を識別するものとして、Radek Brich the Avastフォーラムによってさらに説明されています。

こんにちは、もう少し情報を追加します。

このファイルはMacOSシステムによって作成され、実際には「cpu usage」診断レポートの一部です。レポートは、アバストがスキャン中にCPUを大量に使用するために作成されます。

UUID(7BBC8EE8-D092-34D9-9DD8-B85A99E46C64)は、Avast detection DB(algo.so)の一部であるライブラリを識別します。ファイルの内容は、ライブラリから抽出されたデバッグ情報です。残念ながら、これにはアバストによってマルウェアとして検出された文字列が含まれているようです。

(「失礼な」テキストは、おそらく単なるマルウェアの名前です。)


4
説明ありがとうございます、あなたは本当に救い主です。非常によく説明されています。
ロンリートゥインキー

16
ワオ。関連する注意事項として、ロトチケットに投資する必要があります。そのような「幸運」は「一生に一度」とは想定されていませんが、「ビッグバンから熱死まで、宇宙の全寿命に一度」と想定されています。
コートアンモン

14
ちょっと待って それはどのハッシュアルゴリズムですか?古い暗号化暗号でさえ、ランダムに2番目のプリイメージ攻撃を解決するのと同等であり、さらに多くの認識に値します。
ジョシュア

3
@Joshua Appleのエンジニアがマルウェアの貢献者であり、ハッシュ生成コードを「デイジョブ」コードに組み込むことができますか?それは頭のキックではありませんか!
-JakeGould

6
@JohnDvorakの完全なパスは/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64ですので、ファイル名は128ビットハッシュの最後の120ビット(最初の8つは7B)になります。これは必ずしも暗号ハッシュであることを意味するわけではありませんが、長さはMD5と一致します。
マシュークランリー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.