web-dev-qa-db-fra.com

Avast sur macOS High Sierra affirme avoir attrapé le virus "Cryptonight" réservé à Windows

Hier, j'ai effectué une analyse complète du système à l'aide de mon logiciel antivirus Avast, qui a permis de détecter un fichier d'infection. L'emplacement du fichier est:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast catégorise le fichier d'infection comme suit:

JS:Cryptonight [Trj]

Ainsi, après avoir supprimé le fichier, j'ai effectué plusieurs autres analyses complètes du système pour vérifier s'il y avait d'autres fichiers. Je n'ai rien trouvé, jusqu'à ce que je redémarre mon macbook pro aujourd'hui. Le fichier est réapparu au même endroit. J'ai donc décidé de laisser Avast le stocker dans le coffre à virus, de redémarrer l'ordinateur portable et de nouveau, le fichier se trouvait à nouveau au même endroit. Par conséquent, le virus recrée le fichier à chaque redémarrage de l'ordinateur portable.

Je veux éviter d'essuyer l'ordinateur portable et de tout réinstaller, c'est pourquoi je suis ici. J'ai étudié le chemin du fichier et cryptonight et découvert que cryptonight est/peut être un code malveillant pouvant être exécuté en arrière-plan sur l'ordinateur de quelqu'un pour exploiter la crypto-monnaie. J'ai surveillé l'utilisation de mon processeur, la mémoire et le réseau et je n'ai encore vu aucun processus étrange en cours d'exécution. Mon processeur tourne à moins de 30%, ma RAM est généralement inférieure à 5 Go (16 Go installés) et aucun réseau n'a envoyé de processus d'envoi/de réception de grande quantité de données. Donc, si quelque chose se passe en arrière-plan, je ne peux pas le dire du tout. Je n'ai aucune idée de quoi faire.

Mon Avast exécute des analyses complètes du système toutes les semaines. Ce problème est donc récemment devenu problématique cette semaine. J'ai vérifié toutes mes extensions de chrome et rien n'est hors d'usage, je n'ai rien téléchargé de spécial la semaine dernière, à part le nouveau système d'exploitation Mac (macOS High Sierra 10.13.1). Donc, je ne sais pas du tout d'où cela vient pour être honnête et je ne sais pas comment m'en débarrasser. Quelqu'un peut-il m'aider s'il vous plaît.

Je soupçonne que ce "virus" supposé provient de la mise à jour Apple et qu'il ne s'agit que d'un fichier pré-installé créé et exécuté à chaque démarrage/redémarrage du système d'exploitation. Mais je ne suis pas sûr car je n'ai qu'un seul MacBook et personne d'autre, à ma connaissance, possédant un mac n'a mis à jour le système d'exploitation avec High Sierra. Mais Avast continue de le nommer comme un virus potentiel «Cryptonight» et personne d’autre en ligne n’a rien publié à ce sujet. Par conséquent, un forum de suppression de virus commun n'est pas utile dans mon cas, car j'ai déjà essayé de le supprimer avec Avast, malwarebytes et manuellement.

39
Lonely Twinky

Il est pratiquement certain qu’il n’ya pas de virus, de malware ou de cheval de Troie en jeu et qu’il s’agit d’un faux positif très fortuit.

Il est fort probable que ce soit un faux positif car /var/db/uuidtext/ est lié au nouveau sous-système «Unified Logging» introduit dans macOS Sierra (10.2). Comme cet article explique :

Le premier chemin de fichier (/var/db/diagnostics/) contient les fichiers journaux. Ces fichiers sont nommés avec un nom de fichier d'horodatage suivant le modèle logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Ces fichiers sont des fichiers binaires que nous devrons utiliser un nouvel utilitaire sous macOS pour les analyser. Ce répertoire contient également d’autres fichiers, notamment des fichiers log * .tracev3 supplémentaires et d’autres contenant des métadonnées de journalisation. Le second chemin de fichier (/var/db/uuidtext/) contient des fichiers qui sont des références dans les fichiers journaux principaux * .tracev3.

Mais dans votre cas, la "magie" semble provenir du hash:

BC8EE8D09234D99DD8B85A99E46C64

Il suffit de consulter cette référence pour les fichiers de programmes malveillants Windows connus qui fait référence à ce hachage spécifique. Toutes nos félicitations! Votre Mac a créé par magie un nom de fichier qui correspond à un vecteur connu qui a été principalement observé sur les systèmes Windows… Mais vous êtes sur un Mac et ce nom de fichier est simplement un hachage connecté à la structure de fichiers du système de base de données «Unified Logging». tout à fait par hasard qu’il correspond au nom de fichier du programme malveillant et ne signifie rien.

Et la raison pour laquelle un fichier spécifique semble se régénérer est basée sur ce détail de l'explication ci-dessus:

Le second chemin de fichier (/var/db/uuidtext/) contient des fichiers qui sont des références dans les fichiers journaux principaux * .tracev3.

Donc, vous supprimez le fichier dans /var/db/uuidtext/, mais tout ce qu’il est est une référence à ce qui est dans /var/db/diagnostics/. Ainsi, lorsque vous redémarrez, il voit qu'il manque et le recrée dans /var/db/uuidtext/.

Quant à quoi faire maintenant? Vous pouvez soit tolérer les alertes Avast, soit télécharger un outil de nettoyage de cache tel que Onyx et forcer simplement la recréation des journaux en les purgeant véritablement de votre système. pas seulement ce fichier BC8EE8D09234D99DD8B85A99E46C64. Espérons que les noms de hachage des fichiers qu’il régénère après un nettoyage complet ne correspondent plus accidentellement à un fichier malveillant connu.


UPDATE 1 : Il semblerait que le personnel d’Avast reconnaisse le problème dans cet article sur son forum :

Je peux confirmer qu'il s'agit d'un faux positif. Le message de superuser.com décrit assez bien le problème - MacOS semble avoir accidentellement créé un fichier contenant des fragments de mineur de crypto-monnaie malveillant qui a également déclenché l'une de nos détections.

Maintenant, ce qui est vraiment étrange dans cette déclaration, c’est la phrase suivante: “… MacOS semble avoir accidentellement créé un fichier contenant des fragments de mineur malveillant de crypto-monnaie.

Quoi? Cela implique-t-il que quelqu'un de l'équipe principale de développement de logiciels macOS chez Apple installe le système de manière "accidentelle" de manière à ce qu'il génère des fragments neutralisés d'un mineur de crypto-monnaie malveillant connu? Quelqu'un a-t-il contacté directement Apple à ce sujet? Tout cela semble un peu fou.


UPDATE 2 : Ce problème est expliqué plus en détail par quelqu'un de Radek Brich sur les forums Avast } comme un simple Avast qui s'auto-identifie:

Bonjour, je vais juste ajouter un peu plus d'informations.

Le fichier est créé par le système MacOS, il fait en fait partie du rapport de diagnostic "Utilisation du processeur". Le rapport est créé car Avast utilise beaucoup le processeur lors de l'analyse.

L'UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifie une bibliothèque qui fait partie du DB de détections Avast (algo.so). Le contenu du fichier contient des informations de débogage extraites de la bibliothèque. Malheureusement, cela semble contenir une chaîne qui est en retour détectée par Avast en tant que malware.

(Les textes "grossiers" ne sont probablement que des noms de programmes malveillants.)

67
JakeGould