macOS High Sierraのアバストは、Windows専用の「Cryptonight」ウイルスをキャッチしたと主張しています

昨日、アバストウイルス対策ソフトウェアを使用してシステム全体のスキャンを実行しましたが、感染ファイルが見つかりました。ファイルの場所は次のとおりです。

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

アバストは、感染ファイルを次のように分類します。

JS:Cryptonight [Trj]

そのため、ファイルを削除した後、さらにシステム全体をスキャンして、ファイルがまだあるかどうかを確認しました。今日、Macbook Proを再起動するまで、何も見つかりませんでした。ファイルは同じ場所に再表示されました。そこで、アバストにウイルスを入れてラップトップを再起動させ、再びファイルを同じ場所に置くことにしました。そのため、ウイルスはラップトップを再起動するたびにファイルを再作成します。

私はラップトップを拭いてすべてを再インストールすることを避けたいので、ここにいるのはそのためです。私はファイルパスと暗号夜を調査し、暗号夜は誰かのコンピューターのバックグラウンドで実行して暗号通貨をマイニングできる悪意のあるコードであることを発見しました。CPU使用率、メモリ、およびネットワークを監視していますが、1つの奇妙なプロセスが実行されていることはありません。CPUは30％未満で実行され、RAMは一般に5GB（インストール済み16GB）未満であり、ネットワークには大量のデータを送受信するプロセスがありません。そのため、バックグラウンドで何かが採掘されている場合は、まったくわかりません。何をすればいいのかわかりません。

私のアバストは毎週フルシステムスキャンを実行しているため、今週これが最近問題になりました。すべてのchrome拡張機能をチェックしましたが、何も故障していません。過去1週間、新しいMacオペレーティングシステム（macOS High Sierra 10.13.1）以外に特別なものをダウンロードしていません。だから私はこれが正直であるためにどこから来たのか見当もつかないし、どうやってそれを取り除くのか見当もつかない。誰か助けてください。

この「ウイルス」と思われるものはAppleのアップデートによるものであり、OSが起動/再起動されるたびに作成され実行されるプレインストールファイルであると思われます。しかし、MacBookは1つしかなく、MacがOSをHigh Sierraに更新したことを知っている人は誰もいないので、私は確信がありません。しかし、アバストはこれを潜在的な「Cryptonight」ウイルスとラベル付けし続けており、この問題に関してオンラインで誰も投稿していません。したがって、Avast、malwarebytes、および手動の両方で削除しようとしたことがあるため、一般的なウイルス削除フォーラムは私の状況では役に立ちません。

ウイルス、マルウェア、またはトロイの木馬がまったく動作しておらず、それらはすべて非常に偶然の誤検知であると確信しています。

これ/var/db/uuidtext/は、macOS Sierra（10.2）で導入された新しい「Unified Logging」サブシステムに関連しているため、おそらく誤検知です。同様に、この記事では説明：

最初のファイルパス（/var/db/diagnostics/）にはログファイルが含まれています。これらのファイルには、パターンに続くタイムスタンプファイル名が付けられますlogdata.Persistent.YYYYMMDDTHHMMSS.tracev3。これらのファイルはバイナリファイルであり、macOSの新しいユーティリティを使用して解析する必要があります。このディレクトリには、追加のログ* .tracev3ファイルやロギングメタデータを含むその他のファイルが含まれます。2番目のファイルパス（/var/db/uuidtext/）には、メインの* .tracev3ログファイルで参照されるファイルが含まれます。

しかし、あなたの場合、「魔法」はハッシュから来ているようです：

BC8EE8D09234D99DD8B85A99E46C64

特定のハッシュを参照する既知のWindowsマルウェアファイルについては、このリファレンスをご覧ください。おめでとうございます！お使いのMacは、主にWindowsシステムで見られる既知のベクトルに一致するファイル名を魔法のように作成しました…しかし、あなたはMac上にあり、このファイル名は「Unified Logging」データベースシステムのファイル構造に接続された単なるハッシュであり、マルウェアのファイル名と一致することとまったく意味がないことは完全に偶然です。

そして、特定のファイルが再生成されるように見える理由は、上記の説明からのこの詳細に基づいています。

2番目のファイルパス（/var/db/uuidtext/）には、メインの* .tracev3ログファイルで参照されるファイルが含まれます。

だからあなたはファイルを削除しますが/var/db/uuidtext/、それはすべてにあるものへの参照/var/db/diagnostics/です。したがって、再起動すると、不足していることがわかり、で再作成され/var/db/uuidtext/ます。

今何をすべきか？まあ、アバストアラートを許容するか、Onyxなどのキャッシュクリーニングツールをダウンロードして、システムからログを完全に削除することでログを強制的に再作成できます。1つのBC8EE8D09234D99DD8B85A99E46C64ファイルだけではありません。完全なクリーニング後に再生成されるファイルのハッシュ名が、既知のマルウェアファイルと誤って再び一致しないことを願っています。

更新1：アバストスタッフは、フォーラムのこの投稿で問題を認めているようです：

これが誤検知であることを確認できます。superuser.comの投稿はこの問題を非常によく説明しています-MacOSが悪意のある暗号通貨マイナーのフラグメントを含むファイルを誤って作成したようです。

このステートメントについて本当に奇妙なのは、「…MacOSが誤って悪意のある暗号通貨マイナーの断片を含むファイルを作成したようです」というフレーズです。」

何？これは、アップルのコアmacOSソフトウェア開発チームの誰かが何らかの方法でシステムを「偶然」セットアップして、既知の悪意のある暗号通貨マイナーの去勢されたフラグメントを生成することを意味していますか？誰かがこれについてアップルに直接連絡しましたか？これは少しおかしいようです。

更新2：この問題は、Avastフォーラムを単に自分自身を識別するものとして、Radek Brich the Avastフォーラムによってさらに説明されています。

こんにちは、もう少し情報を追加します。

このファイルはMacOSシステムによって作成され、実際には「cpu usage」診断レポートの一部です。レポートは、アバストがスキャン中にCPUを大量に使用するために作成されます。

UUID（7BBC8EE8-D092-34D9-9DD8-B85A99E46C64）は、Avast detection DB（algo.so）の一部であるライブラリを識別します。ファイルの内容は、ライブラリから抽出されたデバッグ情報です。残念ながら、これにはアバストによってマルウェアとして検出された文字列が含まれているようです。

（「失礼な」テキストは、おそらく単なるマルウェアの名前です。）