web-dev-qa-db-ja.com

macOS High Sierraへのアバスト、ウィンドウズオンリーの「Cryptonight」ウイルスに感染したと発表

昨日、私は自分のAvastウイルス対策ソフトウェアを使ってシステム全体のスキャンを実行し、それは感染ファイルを見つけました。ファイルの場所は次のとおりです。

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avastは感染ファイルを以下のように分類します。

JS:Cryptonight [Trj]

そのため、ファイルを削除した後、さらにファイルがあるかどうかを確認するために、システム全体のスキャンをいくつか実行しました。今日MacBook Proを再起動するまで何も見つからなかった。ファイルは同じ場所に再表示されました。それで私はAvastにそれをウイルスの箱に入れさせ、ラップトップを再起動させ、そして再びファイルが同じ場所にあるようにすることにしました。したがって、ウイルスはラップトップを再起動するたびにファイルを再作成します。

私はラップトップを拭いてすべてを再インストールしないようにしたいので、それが私がここにいる理由です。私はファイルパスとcryptonightを調査し、cryptonightが暗号通貨をマイニングするために誰かのコンピュータのバックグラウンドで実行される可能性がある悪意のあるコードである可能性があることを発見しました。私は自分のCPU使用率、メモリ、ネットワークを監視していましたが、奇妙なプロセスが実行されているのを見たことはありません。私のCPUは30%以下で、私のRAMは通常5GB以下(インストール済み16GB)です、そして私のネットワークは大量のデータを送受信するプロセスを持っていませんでした。それで、何かがバックグラウンドで採掘されているならば、私はまったく言うことができません。何をすべきかわかりません。

My Avastは毎週フルシステムスキャンを実行しているので、今週はこれが最近問題になりました。私はすべてのクロム拡張機能をチェックしましたが、故障したものは何もありません。新しいMacオペレーティングシステム(macOS High Sierra 10.13.1)以外に、何も特別なものをダウンロードしていません。だから私はこれがどこから来たのか、正直に言うところがわかりませんし、それを取り除く方法もわかりません。誰かが私を助けてください。

私はこの「ウイルス」がアップルのアップデートから来ていると考えています、そしてそれはOSが起動/再起動されるたびに作成され、実行される単なるプレインストールファイルであると思います。しかし、私はMacBookを1台しか持っておらず、Macを持っていることでOSがHigh Sierraに更新されたことを知っている人が他にいないので、私は自信がない。しかしAvastはこれを潜在的な「Cryptonight」ウイルスとして分類し続けており、オンラインで他に誰もこの問題について何も投稿していません。したがって、私はすでにAvast、malwarebytes、および手動の両方でそれを削除しようとしているので、一般的なウイルス駆除フォーラムは私の状況では役に立ちません。

39
Lonely Twinky

ウイルス、マルウェア、トロイの木馬が存在しないことを確認してください。彼はすべて、偶然にも誤って検出されています。

/var/db/uuidtext/は、macOS Sierra(10.2)で導入された新しい「Unified Logging」サブシステムに関連しているため、ほとんどの場合、誤検知です。 この記事で説明します

最初のファイルパス(/var/db/diagnostics/)にはログファイルが含まれています。これらのファイルは、パターンlogdata.Persistent.YYYYMMDDTHHMMSS.tracev3に続くタイムスタンプファイル名で命名されます。これらのファイルはバイナリファイルであり、解析するためにmacOS上で新しいユーティリティを使用する必要があります。このディレクトリには、追加のlog * .tracev3ファイルやロギングメタデータを含むその他のファイルも含まれます。 2番目のファイルパス(/var/db/uuidtext/)には、メインの* .tracev3ログファイルで参照されているファイルが含まれています。

しかし、あなたの場合、「魔法」はハッシュから来ているようです。

BC8EE8D09234D99DD8B85A99E46C64

その特定のハッシュを参照しているこの参照 既知のWindowsマルウェアファイルの場合 を確認してください。おめでとうございます。お使いのMacは、Windowsシステムで主に見られる既知のベクトルと一致するファイル名を魔法のように作成しています…しかしあなたはMac上にいて、このファイル名は「Unified Logging」データベースシステムのファイル構造に関連する単なるハッシュです。そのマルウェアのファイル名と一致し、何も意味するべきではないということは完全に偶然にも起こります。

そして特定のファイルが再生成されるように見える理由は上記の説明からのこの詳細に基づいています:

2番目のファイルパス(/var/db/uuidtext/)には、メインの* .tracev3ログファイルで参照されているファイルが含まれています。

そのため、/var/db/uuidtext/のファイルを削除しますが、それは/var/db/diagnostics/の内容への参照だけです。そのため、再起動すると、見つからないことがわかり、/var/db/uuidtext/に再作成されます。

今何をするの?まあ、あなたはAvastの警告に耐えることも、あなたが Onyxのようなキャッシュクリーニングツール をダウンロードして、あなたのシステムから本当にそれらを削除することによって単にログを作り直されることもできます。そのBC8EE8D09234D99DD8B85A99E46C64ファイルだけではありません。フルクリーニング後に再生成されたファイルのハッシュ名が、既知のマルウェアファイルと誤って一致しないことを願います。


UPDATE 1:Avastのスタッフが問題を認めているようですね{ この投稿はフォーラムで

これが誤検知であることを確認できます。 superuser.comの投稿はこの問題を非常によく説明しています - MacOSは、悪意のあるcryptocurrencyマイナーの断片を含むファイルを誤って作成したようです。

さて、この文に関して本当に奇妙なのは、「…という意味です。MacOSは、悪意のある暗号通貨マイナーの断片を含むファイルを誤って作成したようです。

何?これは、Appleの中核となるmacOSソフトウェア開発チームの誰かが、何らかの方法でシステムをセットアップして、既知の悪意のあるcryptocurrencyマイナーの断片化された断片を生成することを意味していますか?誰かが直接これについてアップルに連絡しましたか?これはすべて少しおかしいようです。


UPDATE 2:この問題は、単にAvast自身を自己識別するものとして さらにAvastフォーラムでRadek Brichによって説明された です。

こんにちは、私はもう少し情報を追加します。

このファイルはMacOSシステムによって作成されたもので、実際には "cpu usage"診断レポートの一部です。 Avastはスキャン中にCPUを頻繁に使用するため、レポートが作成されます。

UUID(7BBC8EE8-D092-34D9-9DD8-B85A99E46C64)は、Avast検出DB(algo.so)の一部であるライブラリーを識別します。ファイルの内容は、ライブラリから抽出されたデバッグ情報です。残念ながら、これにはAvastがマルウェアとして検出した文字列が含まれているようです。

(「失礼な」テキストは、おそらく単にマルウェアの名前です。)

67
JakeGould