Avast en macOS High Sierra afirma que ha capturado el virus "Cryptonight" exclusivo de Windows


39

Ayer ejecuté un análisis completo del sistema usando mi software antivirus Avast y encontré un archivo de infección. La ubicación del archivo es:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast clasifica el archivo de infección como:

JS:Cryptonight [Trj]

Entonces, después de eliminar el archivo, hice varios escaneos más completos del sistema para verificar si había más archivos. No encontré nada, hasta que reinicié mi macbook pro hoy. El archivo reapareció en la misma ubicación. Así que decidí dejar que Avast lo pusiera en el cofre de virus, reinicié la computadora portátil y nuevamente el archivo estaba en la misma ubicación. Por lo tanto, el virus vuelve a crear el archivo cada vez que se reinicia la computadora portátil.

Quiero evitar limpiar la computadora portátil y volver a instalar todo, por eso estoy aquí. Investigué la ruta del archivo y cryptonight y descubrí que cryptonight es / puede ser un código malicioso que puede ejecutarse en el fondo de la computadora de alguien para extraer criptomonedas. He estado monitoreando el uso de mi CPU, la memoria y la red y no he visto un solo proceso extraño en ejecución. Mi CPU está funcionando por debajo del 30%, mi RAM generalmente está por debajo de 5 GB (instalado 16 GB), y mi red no ha tenido ningún proceso para enviar / recibir gran cantidad de datos. Entonces, si algo está minando en segundo plano, no puedo decirlo en absoluto. No tengo idea de qué hacer.

Mi Avast ejecuta análisis completos del sistema todas las semanas, por lo que recientemente se convirtió en un problema esta semana. Revisé todas mis extensiones de Chrome y nada está fuera de servicio, no he descargado nada especial en la última semana, además del nuevo sistema operativo Mac (macOS High Sierra 10.13.1). Así que no tengo idea de dónde vino esto para ser honesto y no tengo idea de cómo deshacerme de él. Puede alguien ayudarme.

Sospecho que este supuesto "virus" proviene de la actualización de Apple y que es solo un archivo preinstalado que se crea y se ejecuta cada vez que se inicia / reinicia el sistema operativo. Pero no estoy seguro ya que solo tengo un MacBook y nadie más que sepa que tenga una Mac ha actualizado el sistema operativo a High Sierra. Pero Avast sigue etiquetando esto como un posible virus "Cryptonight" y nadie más en línea ha publicado nada sobre este tema. Por lo tanto, un foro de eliminación de virus común no es útil en mi situación, ya que ya he intentado eliminarlo con Avast, malwarebytes y manualmente.


55
Es muy probable que sea un falso positivo.
JakeGould

1
A eso estoy llegando a la conclusión, pero quiero tranquilizarme, así que eso es lo que es.
Lonely Twinky

55
¡@LonelyTwinky BC8EE8D09234D99DD8B85A99E46C64parece ser un número mágico! Vea mi respuesta para más detalles .
JakeGould

2
@bcrist El algoritmo solo es independiente de la plataforma, pero los únicos mineros de Mac que puedo encontrar que usan Cryptonight no son JavaScript; todos ellos son claramente binarios de nivel de sistema como este . Más detalles sobre las implementaciones de C aquí y aquí . Si esto fuera puramente una amenaza de JavaScript, los usuarios de Linux también se quejarían. Además, las Macs tienen tarjetas de video horribles por defecto, por lo que son terribles mineros de monedas.
JakeGould

3
Me puse en contacto con Avast acerca de que el archivo era un falso positivo, publicaré una actualización de su respuesta cada vez que me contacten.
Lonely Twinky

Respuestas:


67

Estoy bastante seguro de que no hay virus, malware o troyanos en juego y todo esto es un falso positivo muy coincidente.

Es muy probable que sea un falso positivo ya que /var/db/uuidtext/está relacionado con el nuevo subsistema "Registro unificado" que se introdujo en macOS Sierra (10.2). Como explica este artículo :

La primera ruta de archivo ( /var/db/diagnostics/) contiene los archivos de registro. Estos archivos se nombran con un nombre de archivo de marca de tiempo que sigue el patrón logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. Estos archivos son archivos binarios que tendremos que usar una nueva utilidad en macOS para analizarlos. Este directorio contiene algunos otros archivos, incluidos archivos adicionales de registro * .tracev3 y otros que contienen metadatos de registro. La segunda ruta de archivo ( /var/db/uuidtext/) contiene archivos que son referencias en los archivos de registro principales * .tracev3.

Pero en su caso, la "magia" parece provenir del hash:

BC8EE8D09234D99DD8B85A99E46C64

Simplemente consulte esta referencia para conocer los archivos de malware de Windows conocidos que hacen referencia a ese hash específico. ¡Felicidades! Su Mac ha creado mágicamente un nombre de archivo que coincide con un vector conocido que se ha visto principalmente en los sistemas Windows ... Pero usted está en una Mac y este nombre de archivo es solo un hash que está conectado a la estructura de archivos del sistema de base de datos "Registro Unificado" y es completamente coincidente que coincida con ese nombre de archivo de malware y no debería significar nada.

Y la razón por la que un archivo específico parece regenerarse se basa en este detalle de la explicación anterior:

La segunda ruta de archivo ( /var/db/uuidtext/) contiene archivos que son referencias en los archivos de registro principales * .tracev3.

Así que eliminas el archivo /var/db/uuidtext/, pero todo lo que es es una referencia a lo que hay en él /var/db/diagnostics/. Entonces, cuando reinicia, ve que falta y lo vuelve a crear /var/db/uuidtext/.

¿En cuanto a qué hacer ahora? Bueno, puede tolerar las alertas de Avast o puede descargar una herramienta de limpieza de caché como Onyx y simplemente forzar la recreación de los registros purgándolos realmente de su sistema; no solo ese BC8EE8D09234D99DD8B85A99E46C64archivo. Esperemos que los nombres hash de los archivos que regenera después de una limpieza completa no coincidan accidentalmente con un archivo de malware conocido nuevamente.


ACTUALIZACIÓN 1 : Parece que el personal de Avast reconoce el problema en esta publicación en sus foros :

Puedo confirmar que esto es un falso positivo. La publicación de superuser.com describe el problema bastante bien: MacOS parece haber creado accidentalmente un archivo que contiene fragmentos de minero de criptomonedas malicioso que también activan una de nuestras detecciones.

Ahora, lo que es realmente extraño acerca de esta declaración es la frase: “ … MacOS parece haber creado accidentalmente un archivo que contiene fragmentos de minero de criptomonedas malicioso. "

¿Qué? ¿Esto implica que alguien en el equipo central de desarrollo de software macOS en Apple de alguna manera "accidentalmente" configuró el sistema para que genere fragmentos castrados de un minero de criptomonedas malicioso conocido? ¿Alguien ha contactado a Apple directamente sobre esto? Todo esto parece un poco loco.


ACTUALIZACIÓN 2 : alguien Radek Brich explica los problemas de los foros de Avast simplemente como Avast se autoidentifica:

Hola, solo agregaré un poco más de información.

El archivo es creado por el sistema MacOS, en realidad es parte del informe de diagnóstico de "uso de la CPU". El informe se crea porque Avast usa mucho la CPU durante el escaneo.

El UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) identifica una biblioteca que forma parte de las detecciones de Avast DB (algo.so). El contenido del archivo es información de depuración extraída de la biblioteca. Desafortunadamente, esto parece contener una cadena que Avast detecta a cambio como malware.

(Los textos "groseros" probablemente sean solo nombres de malware).


44
Gracias por la explicación, realmente eres un salvador. Muy bien explicado también.
Lonely Twinky

16
Guau. En una nota relacionada, ¡debes invertir en un boleto de lotería! Se supone que ese tipo de "suerte" no es "una vez en la vida", sino "una vez en toda la vida del universo, desde el big bang hasta la muerte por calor".
Cort Ammon

14
¿Esperar lo? ¿Qué algoritmo hash es ese? Si es incluso un criptográfico antiguo, tenemos el equivalente de resolver aleatoriamente un segundo ataque previo a la imagen y merece mucho más reconocimiento.
Joshua

3
@Joshua ¿Quizás un ingeniero de Apple contribuye al malware y deja que algún código de generación de hash se filtre en su código de "trabajo diario"? ¡No sería una patada en la cabeza!
JakeGould

66
@JohnDvorak La ruta completa es /private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64, por lo que el nombre del archivo podría ser solo los últimos 120 bits de un hash de 128 bits (los primeros 8 son 7B). Eso no significa necesariamente que sea un hash criptográfico, pero la longitud coincide con MD5.
Matthew Crumley
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.