Avast sur macOS High Sierra affirme avoir attrapé le virus «Cryptonight» réservé à Windows

39

Hier, j'ai effectué une analyse complète du système à l'aide de mon logiciel antivirus Avast, qui a permis de détecter un fichier d'infection. L'emplacement du fichier est:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast catégorise le fichier d'infection comme suit:

JS:Cryptonight [Trj]

Ainsi, après avoir supprimé le fichier, j'ai effectué plusieurs autres analyses complètes du système pour vérifier s'il y avait d'autres fichiers. Je n'ai rien trouvé, jusqu'à ce que je redémarre mon macbook pro aujourd'hui. Le fichier est réapparu au même endroit. J'ai donc décidé de laisser Avast le stocker dans le coffre à virus, de redémarrer l'ordinateur portable et de nouveau, le fichier était à nouveau au même endroit. Par conséquent, le virus recrée le fichier à chaque redémarrage de l'ordinateur portable.

Je veux éviter d'essuyer l'ordinateur portable et de tout réinstaller, c'est pourquoi je suis ici. J'ai étudié le chemin du fichier et cryptonight et découvert que cryptonight est / peut être un code malveillant pouvant être exécuté en arrière-plan sur l'ordinateur de quelqu'un pour exploiter la crypto-monnaie. J'ai surveillé l'utilisation de mon processeur, la mémoire et le réseau et je n'ai vu aucun processus étrange en cours d'exécution. Mon processeur tourne à moins de 30%, ma mémoire RAM est généralement inférieure à 5 Go (16 Go installés) et aucun réseau n'a envoyé de processus d'envoi / de réception de grande quantité de données. Donc, si quelque chose se passe en arrière-plan, je ne peux pas le dire du tout. Je n'ai aucune idée de quoi faire.

Mon Avast exécute des analyses complètes du système toutes les semaines. Ce problème est donc récemment devenu problématique cette semaine. J'ai vérifié toutes mes extensions de chrome et rien n'est hors d'usage, je n'ai rien téléchargé de spécial la semaine dernière, à part le nouveau système d'exploitation Mac (macOS High Sierra 10.13.1). Donc, je ne sais pas du tout d'où cela vient pour être honnête et je ne sais pas comment m'en débarrasser. Quelqu'un peut-il m'aider s'il vous plaît.

Je soupçonne que ce "virus" supposé provient de la mise à jour Apple et qu'il ne s'agit que d'un fichier pré-installé créé et exécuté chaque fois que le système d'exploitation est démarré / redémarré. Mais je ne suis pas sûr car je n'ai qu'un seul MacBook et personne d'autre, à ma connaissance, possédant un mac n'a mis à jour le système d'exploitation avec High Sierra. Mais Avast continue à étiqueter cela comme un virus potentiel «Cryptonight» et personne d’autre en ligne n’a rien publié à ce sujet. Par conséquent, un forum de suppression de virus commun n'est pas utile dans mon cas, car j'ai déjà essayé de le supprimer avec Avast, malwarebytes et manuellement.

Twinky Solitaire
la source
5
C'est probablement un faux positif.
JakeGould
1
C’est ce que j’en viens à la conclusion, mais je veux être rassurée et c’est bien ce qu’elle est.
Solitaire Twinky
5
@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64semble être un nombre magique! Voir ma réponse pour plus de détails .
JakeGould
2
@bcrist L'algorithme seul est agnostique sur la plate-forme, mais les seuls mineurs Mac que je peux trouver qui utilisent Cryptonight ne sont pas JavaScript. ce sont tous clairement des binaires de niveau système tels que celui-ci . Plus de détails sur les implémentations C ici et ici . S'il s'agissait d'une menace purement JavaScript, les utilisateurs de Linux se plaindraient également. En outre, les Mac ont par défaut des cartes vidéo épouvantables, ce qui en fait de terribles mineurs.
JakeGould
3
J'ai contacté Avast au sujet du fichier étant un faux positif, je publierai une mise à jour de leur réponse chaque fois qu'ils me contacteront.
Lonely Twinky

Réponses:

67

Il est pratiquement certain qu’il n’ya pas de virus, de programmes malveillants ou de chevaux de Troie en jeu et qu’il s’agit d’un faux positif très fortuit.

C'est très probablement un faux positif car il /var/db/uuidtext/est lié au nouveau sous-système “Unified Logging” introduit dans macOS Sierra (10.2). Comme cet article l'explique :

Le premier chemin de fichier ( /var/db/diagnostics/) contient les fichiers journaux. Ces fichiers sont nommés avec un nom de fichier d'horodatage suivant le modèle logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Ces fichiers sont des fichiers binaires que nous devrons utiliser un nouvel utilitaire sous macOS pour les analyser. Ce répertoire contient également d’autres fichiers, notamment des fichiers log * .tracev3 supplémentaires et d’autres contenant des métadonnées de journalisation. Le second chemin de fichier ( /var/db/uuidtext/) contient des fichiers qui sont des références dans les fichiers journaux principaux * .tracev3.

Mais dans votre cas, la "magie" semble provenir du hash:

BC8EE8D09234D99DD8B85A99E46C64

Il suffit de consulter cette référence pour les fichiers de programmes malveillants Windows connus qui font référence à un hachage spécifique. Toutes nos félicitations! Votre Mac a créé par magie un nom de fichier qui correspond à un vecteur connu qui a été principalement observé sur les systèmes Windows… Mais vous êtes sur un Mac et ce nom de fichier est simplement un hachage connecté à la structure de fichiers du système de base de données «Unified Logging». tout à fait par hasard qu’il correspond au nom de fichier du programme malveillant et ne signifie rien.

Et la raison pour laquelle un fichier spécifique semble se régénérer est basée sur ce détail de l'explication ci-dessus:

Le second chemin de fichier ( /var/db/uuidtext/) contient des fichiers qui sont des références dans les fichiers journaux principaux * .tracev3.

Donc, vous supprimez le fichier /var/db/uuidtext/, mais tout ce qu’il contient est une référence à son contenu /var/db/diagnostics/. Ainsi, lorsque vous redémarrez, il voit qu'il manque et le recrée dans /var/db/uuidtext/.

Quant à quoi faire maintenant? Vous pouvez soit tolérer les alertes Avast, soit télécharger un outil de nettoyage de cache tel que Onyx, et simplement forcer la recréation des journaux en les purgeant véritablement de votre système. pas seulement ce BC8EE8D09234D99DD8B85A99E46C64fichier. Espérons que les noms de hachage des fichiers qu'il régénère après un nettoyage complet ne correspondront plus accidentellement à un fichier de programme malveillant connu.


MISE À JOUR 1 : Il semblerait que le personnel d’Avast reconnaisse le problème dans cet article sur ses forums :

Je peux confirmer qu'il s'agit d'un faux positif. Le message de superuser.com décrit assez bien le problème - MacOS semble avoir accidentellement créé un fichier contenant des fragments de mineur de crypto-monnaie malicieux qui a également déclenché l’une de nos détections.

Ce qui est vraiment étrange dans cette déclaration, c’est la phrase suivante: « … MacOS semble avoir accidentellement créé un fichier contenant des fragments de mineur malicieux de crypto-monnaie.

Quelle? Cela implique-t-il que quelqu'un de l'équipe principale de développement de logiciels macOS chez Apple installe le système de manière "accidentelle" de manière à ce qu'il génère des fragments neutralisés d'un mineur de crypto-monnaie malveillant connu? Quelqu'un a-t-il contacté directement Apple à ce sujet? Tout cela semble un peu fou.


MISE À JOUR 2 : Radek Brich, l'un des forums Avast, explique plus en détail le problème: Avast s'identifie lui-même:

Bonjour, je vais juste ajouter un peu plus d'informations.

Le fichier est créé par le système MacOS, il fait en fait partie du rapport de diagnostic "Utilisation du processeur". Le rapport est créé car Avast utilise beaucoup le processeur lors de l'analyse.

L'UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifie une bibliothèque qui fait partie du DB de détections Avast (algo.so). Le contenu du fichier contient des informations de débogage extraites de la bibliothèque. Malheureusement, cela semble contenir une chaîne qui est en retour détectée par Avast comme un malware.

(Les textes "grossiers" ne sont probablement que des noms de programmes malveillants.)

JakeGould
la source
4
Merci pour l'explication, vous êtes vraiment un sauveur. Très bien expliqué aussi.
Solitaire Twinky
16
Sensationnel. Sur une note connexe, vous devriez investir dans un ticket de loto! Ce genre de "chance" n'est pas censé être "une fois dans une vie" mais "une fois dans la vie de l'univers, du big-bang à la chaleur fatale".
Cort Ammon
14
Attends quoi? Quel est l'algorithme de hachage? Si c'est même un vieux cryptographique, nous avons l'équivalent de résoudre de manière aléatoire une seconde attaque de pré-image et méritons beaucoup plus de reconnaissance.
Josué
3
@Joshua Peut-être qu'un ingénieur Apple est un contributeur aux logiciels malveillants et laisse une partie du code de génération de hachage glisser dans son code de «travail à la journée»? Ne serait-ce pas un coup de pied dans la tête!
JakeGould
6
@JohnDvorak Le chemin complet est /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, le nom du fichier pourrait donc n'être que les 120 derniers bits d'un hachage de 128 bits (les 8 premiers étant 7B). Cela ne signifie pas nécessairement que c'est un hachage cryptographique, mais la longueur correspond à MD5.
Matthew Crumley