Hier, j'ai effectué une analyse complète du système à l'aide de mon logiciel antivirus Avast, qui a permis de détecter un fichier d'infection. L'emplacement du fichier est:
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
Avast catégorise le fichier d'infection comme suit:
JS:Cryptonight [Trj]
Ainsi, après avoir supprimé le fichier, j'ai effectué plusieurs autres analyses complètes du système pour vérifier s'il y avait d'autres fichiers. Je n'ai rien trouvé, jusqu'à ce que je redémarre mon macbook pro aujourd'hui. Le fichier est réapparu au même endroit. J'ai donc décidé de laisser Avast le stocker dans le coffre à virus, de redémarrer l'ordinateur portable et de nouveau, le fichier était à nouveau au même endroit. Par conséquent, le virus recrée le fichier à chaque redémarrage de l'ordinateur portable.
Je veux éviter d'essuyer l'ordinateur portable et de tout réinstaller, c'est pourquoi je suis ici. J'ai étudié le chemin du fichier et cryptonight et découvert que cryptonight est / peut être un code malveillant pouvant être exécuté en arrière-plan sur l'ordinateur de quelqu'un pour exploiter la crypto-monnaie. J'ai surveillé l'utilisation de mon processeur, la mémoire et le réseau et je n'ai vu aucun processus étrange en cours d'exécution. Mon processeur tourne à moins de 30%, ma mémoire RAM est généralement inférieure à 5 Go (16 Go installés) et aucun réseau n'a envoyé de processus d'envoi / de réception de grande quantité de données. Donc, si quelque chose se passe en arrière-plan, je ne peux pas le dire du tout. Je n'ai aucune idée de quoi faire.
Mon Avast exécute des analyses complètes du système toutes les semaines. Ce problème est donc récemment devenu problématique cette semaine. J'ai vérifié toutes mes extensions de chrome et rien n'est hors d'usage, je n'ai rien téléchargé de spécial la semaine dernière, à part le nouveau système d'exploitation Mac (macOS High Sierra 10.13.1). Donc, je ne sais pas du tout d'où cela vient pour être honnête et je ne sais pas comment m'en débarrasser. Quelqu'un peut-il m'aider s'il vous plaît.
Je soupçonne que ce "virus" supposé provient de la mise à jour Apple et qu'il ne s'agit que d'un fichier pré-installé créé et exécuté chaque fois que le système d'exploitation est démarré / redémarré. Mais je ne suis pas sûr car je n'ai qu'un seul MacBook et personne d'autre, à ma connaissance, possédant un mac n'a mis à jour le système d'exploitation avec High Sierra. Mais Avast continue à étiqueter cela comme un virus potentiel «Cryptonight» et personne d’autre en ligne n’a rien publié à ce sujet. Par conséquent, un forum de suppression de virus commun n'est pas utile dans mon cas, car j'ai déjà essayé de le supprimer avec Avast, malwarebytes et manuellement.
BC8EE8D09234D99DD8B85A99E46C64
semble être un nombre magique! Voir ma réponse pour plus de détails .Réponses:
Il est pratiquement certain qu’il n’ya pas de virus, de programmes malveillants ou de chevaux de Troie en jeu et qu’il s’agit d’un faux positif très fortuit.
C'est très probablement un faux positif car il
/var/db/uuidtext/
est lié au nouveau sous-système “Unified Logging” introduit dans macOS Sierra (10.2). Comme cet article l'explique :Mais dans votre cas, la "magie" semble provenir du hash:
Il suffit de consulter cette référence pour les fichiers de programmes malveillants Windows connus qui font référence à un hachage spécifique. Toutes nos félicitations! Votre Mac a créé par magie un nom de fichier qui correspond à un vecteur connu qui a été principalement observé sur les systèmes Windows… Mais vous êtes sur un Mac et ce nom de fichier est simplement un hachage connecté à la structure de fichiers du système de base de données «Unified Logging». tout à fait par hasard qu’il correspond au nom de fichier du programme malveillant et ne signifie rien.
Et la raison pour laquelle un fichier spécifique semble se régénérer est basée sur ce détail de l'explication ci-dessus:
Donc, vous supprimez le fichier
/var/db/uuidtext/
, mais tout ce qu’il contient est une référence à son contenu/var/db/diagnostics/
. Ainsi, lorsque vous redémarrez, il voit qu'il manque et le recrée dans/var/db/uuidtext/
.Quant à quoi faire maintenant? Vous pouvez soit tolérer les alertes Avast, soit télécharger un outil de nettoyage de cache tel que Onyx, et simplement forcer la recréation des journaux en les purgeant véritablement de votre système. pas seulement ce
BC8EE8D09234D99DD8B85A99E46C64
fichier. Espérons que les noms de hachage des fichiers qu'il régénère après un nettoyage complet ne correspondront plus accidentellement à un fichier de programme malveillant connu.MISE À JOUR 1 : Il semblerait que le personnel d’Avast reconnaisse le problème dans cet article sur ses forums :
Ce qui est vraiment étrange dans cette déclaration, c’est la phrase suivante: « … MacOS semble avoir accidentellement créé un fichier contenant des fragments de mineur malicieux de crypto-monnaie. ”
Quelle? Cela implique-t-il que quelqu'un de l'équipe principale de développement de logiciels macOS chez Apple installe le système de manière "accidentelle" de manière à ce qu'il génère des fragments neutralisés d'un mineur de crypto-monnaie malveillant connu? Quelqu'un a-t-il contacté directement Apple à ce sujet? Tout cela semble un peu fou.
MISE À JOUR 2 : Radek Brich, l'un des forums Avast, explique plus en détail le problème: Avast s'identifie lui-même:
la source
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
, le nom du fichier pourrait donc n'être que les 120 derniers bits d'un hachage de 128 bits (les 8 premiers étant7B
). Cela ne signifie pas nécessairement que c'est un hachage cryptographique, mais la longueur correspond à MD5.