Avast en macOS High Sierra afirma que ha capturado el virus "Cryptonight" exclusivo de Windows

Ayer ejecuté un análisis completo del sistema usando mi software antivirus Avast y encontré un archivo de infección. La ubicación del archivo es:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast clasifica el archivo de infección como:

JS:Cryptonight [Trj]

Entonces, después de eliminar el archivo, hice varios escaneos más completos del sistema para verificar si había más archivos. No encontré nada, hasta que reinicié mi macbook pro hoy. El archivo reapareció en la misma ubicación. Así que decidí dejar que Avast lo pusiera en el cofre de virus, reinicié la computadora portátil y nuevamente el archivo estaba en la misma ubicación. Por lo tanto, el virus vuelve a crear el archivo cada vez que se reinicia la computadora portátil.

Quiero evitar limpiar la computadora portátil y volver a instalar todo, por eso estoy aquí. Investigué la ruta del archivo y cryptonight y descubrí que cryptonight es / puede ser un código malicioso que puede ejecutarse en el fondo de la computadora de alguien para extraer criptomonedas. He estado monitoreando el uso de mi CPU, la memoria y la red y no he visto un solo proceso extraño en ejecución. Mi CPU está funcionando por debajo del 30%, mi RAM generalmente está por debajo de 5 GB (instalado 16 GB), y mi red no ha tenido ningún proceso para enviar / recibir gran cantidad de datos. Entonces, si algo está minando en segundo plano, no puedo decirlo en absoluto. No tengo idea de qué hacer.

Mi Avast ejecuta análisis completos del sistema todas las semanas, por lo que recientemente se convirtió en un problema esta semana. Revisé todas mis extensiones de Chrome y nada está fuera de servicio, no he descargado nada especial en la última semana, además del nuevo sistema operativo Mac (macOS High Sierra 10.13.1). Así que no tengo idea de dónde vino esto para ser honesto y no tengo idea de cómo deshacerme de él. Puede alguien ayudarme.

Sospecho que este supuesto "virus" proviene de la actualización de Apple y que es solo un archivo preinstalado que se crea y se ejecuta cada vez que se inicia / reinicia el sistema operativo. Pero no estoy seguro ya que solo tengo un MacBook y nadie más que sepa que tenga una Mac ha actualizado el sistema operativo a High Sierra. Pero Avast sigue etiquetando esto como un posible virus "Cryptonight" y nadie más en línea ha publicado nada sobre este tema. Por lo tanto, un foro de eliminación de virus común no es útil en mi situación, ya que ya he intentado eliminarlo con Avast, malwarebytes y manualmente.

Estoy bastante seguro de que no hay virus, malware o troyanos en juego y todo esto es un falso positivo muy coincidente.

Es muy probable que sea un falso positivo ya que /var/db/uuidtext/está relacionado con el nuevo subsistema "Registro unificado" que se introdujo en macOS Sierra (10.2). Como explica este artículo :

La primera ruta de archivo ( /var/db/diagnostics/) contiene los archivos de registro. Estos archivos se nombran con un nombre de archivo de marca de tiempo que sigue el patrón logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Estos archivos son archivos binarios que tendremos que usar una nueva utilidad en macOS para analizarlos. Este directorio contiene algunos otros archivos, incluidos archivos adicionales de registro * .tracev3 y otros que contienen metadatos de registro. La segunda ruta de archivo ( /var/db/uuidtext/) contiene archivos que son referencias en los archivos de registro principales * .tracev3.

Pero en su caso, la "magia" parece provenir del hash:

BC8EE8D09234D99DD8B85A99E46C64

Simplemente consulte esta referencia para conocer los archivos de malware de Windows conocidos que hacen referencia a ese hash específico. ¡Felicidades! Su Mac ha creado mágicamente un nombre de archivo que coincide con un vector conocido que se ha visto principalmente en los sistemas Windows ... Pero usted está en una Mac y este nombre de archivo es solo un hash que está conectado a la estructura de archivos del sistema de base de datos "Registro Unificado" y es completamente coincidente que coincida con ese nombre de archivo de malware y no debería significar nada.

Y la razón por la que un archivo específico parece regenerarse se basa en este detalle de la explicación anterior:

La segunda ruta de archivo ( /var/db/uuidtext/) contiene archivos que son referencias en los archivos de registro principales * .tracev3.

Así que eliminas el archivo /var/db/uuidtext/, pero todo lo que es es una referencia a lo que hay en él /var/db/diagnostics/. Entonces, cuando reinicia, ve que falta y lo vuelve a crear /var/db/uuidtext/.

¿En cuanto a qué hacer ahora? Bueno, puede tolerar las alertas de Avast o puede descargar una herramienta de limpieza de caché como Onyx y simplemente forzar la recreación de los registros purgándolos realmente de su sistema; no solo ese BC8EE8D09234D99DD8B85A99E46C64archivo. Esperemos que los nombres hash de los archivos que regenera después de una limpieza completa no coincidan accidentalmente con un archivo de malware conocido nuevamente.

ACTUALIZACIÓN 1 : Parece que el personal de Avast reconoce el problema en esta publicación en sus foros :

Puedo confirmar que esto es un falso positivo. La publicación de superuser.com describe el problema bastante bien: MacOS parece haber creado accidentalmente un archivo que contiene fragmentos de minero de criptomonedas malicioso que también activan una de nuestras detecciones.

Ahora, lo que es realmente extraño acerca de esta declaración es la frase: “ … MacOS parece haber creado accidentalmente un archivo que contiene fragmentos de minero de criptomonedas malicioso. "

¿Qué? ¿Esto implica que alguien en el equipo central de desarrollo de software macOS en Apple de alguna manera "accidentalmente" configuró el sistema para que genere fragmentos castrados de un minero de criptomonedas malicioso conocido? ¿Alguien ha contactado a Apple directamente sobre esto? Todo esto parece un poco loco.

ACTUALIZACIÓN 2 : alguien Radek Brich explica los problemas de los foros de Avast simplemente como Avast se autoidentifica:

Hola, solo agregaré un poco más de información.

El archivo es creado por el sistema MacOS, en realidad es parte del informe de diagnóstico de "uso de la CPU". El informe se crea porque Avast usa mucho la CPU durante el escaneo.

El UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifica una biblioteca que forma parte de las detecciones de Avast DB (algo.so). El contenido del archivo es información de depuración extraída de la biblioteca. Desafortunadamente, esto parece contener una cadena que Avast detecta a cambio como malware.

(Los textos "groseros" probablemente sean solo nombres de malware).