Lon*_*nky 39 mac virus avast anti-virus macos
昨天我使用我的 Avast 防病毒软件运行了一次完整的系统扫描,它发现了一个感染文件。该文件的位置是:
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
Avast 将感染文件分类为:
JS:Cryptonight [Trj]
因此,在删除文件后,我又进行了几次完整的系统扫描,以检查是否还有其他文件。我什么也没找到,直到我今天重新启动了我的 macbook pro。该文件再次出现在同一位置。所以我决定让 Avast 把它放在病毒箱中,重新启动笔记本电脑,文件再次位于同一位置。因此,每次重启笔记本电脑时,病毒都会重新创建文件。
我想避免擦拭笔记本电脑并重新安装所有东西,所以这就是我在这里的原因。我研究了文件路径和密码之夜,发现密码之夜是/可以是可以在某人计算机的后台运行以挖掘加密货币的恶意代码。我一直在监控我的 CPU 使用率、内存和网络,但我没有看到一个奇怪的进程在运行。我的 CPU 运行低于 30%,我的 RAM 通常低于 5GB(安装 16GB),并且我的网络没有任何进程发送/接收大量数据。因此,如果有什么东西在后台挖掘,我根本无法分辨。我不知道该怎么做。
我的 Avast 每周都会运行完整的系统扫描,所以这周最近才成为一个问题。我检查了我所有的 chrome 扩展程序,没有任何问题,除了新的 Mac 操作系统(macOS High Sierra 10.13.1)之外,过去一周我没有下载任何特别的东西。所以说实话,我不知道这是从哪里来的,我也不知道如何摆脱它。有人可以帮我吗。
我怀疑这个所谓的“病毒”来自 Apple 更新,它只是一个预安装的文件,每次启动/重新启动操作系统时都会创建和运行。但我不确定,因为我只有一台 MacBook,我知道没有其他人拥有 Mac 已将操作系统更新为 High Sierra。但是 Avast 一直将其标记为潜在的“Cryptonight”病毒,并且没有其他人在线发布有关此问题的任何信息。因此,一个常见的病毒清除论坛在我的情况下没有帮助,因为我已经尝试使用 Avast、malwarebytes 和手动删除它。
Gia*_*968 67
这很可能是误报,因为/var/db/uuidtext/与 macOS Sierra (10.2) 中引入的新“统一日志记录”子系统有关。正如这篇文章所解释的:
第一个文件路径 (
/var/db/diagnostics/) 包含日志文件。这些文件以时间戳文件名命名,遵循模式logdata.Persistent.YYYYMMDDTHHMMSS.tracev3。这些文件是二进制文件,我们必须使用 macOS 上的新实用程序来解析它们。该目录还包含一些其他文件,包括其他日志 *.tracev3 文件和其他包含日志元数据的文件。第二个文件路径 (/var/db/uuidtext/) 包含在主 *.tracev3 日志文件中引用的文件。
但在你的情况下,“魔法”似乎来自哈希:
BC8EE8D09234D99DD8B85A99E46C64
只需查看此参考,了解引用该特定哈希的已知 Windows 恶意软件文件。恭喜!您的 Mac 神奇地创建了一个文件名,该文件名与主要在 Windows 系统上看到的已知向量相匹配......完全巧合的是,它与该恶意软件文件名相匹配,不应该意味着什么。
并且特定文件似乎重新生成的原因是基于上述解释中的这个细节:
第二个文件路径 (
/var/db/uuidtext/) 包含在主 *.tracev3 日志文件中引用的文件。
所以你删除了 中的文件/var/db/uuidtext/,但它只是对中内容的引用/var/db/diagnostics/。因此,当您重新启动时,它会发现它丢失并在/var/db/uuidtext/.
至于现在该怎么办?好吧,您可以容忍 Avast 警报,也可以下载诸如 Onyx 之类的缓存清理工具,并通过真正从系统中清除日志来强制重新创建日志;不只是那个BC8EE8D09234D99DD8B85A99E46C64文件。希望它在完全清理后重新生成的文件的哈希名称不会意外地再次匹配已知的恶意软件文件。
更新 1:似乎 Avast 员工在他们的论坛上的这篇文章中承认了这个问题:
我可以确认这是一个误报。superuser.com 的帖子很好地描述了这个问题——MacOS 似乎意外地创建了一个包含恶意加密货币矿工碎片的文件,这也恰好触发了我们的检测之一。
现在这个声明真正奇怪的是这句话,“ ……MacOS 似乎意外地创建了一个包含恶意加密货币矿工碎片的文件。”
什么?这是否意味着 Apple 核心 macOS 软件开发团队的某个人以某种方式“意外”设置了系统,因此它生成了已知恶意加密货币矿工的绝育碎片?有没有人直接就此事联系过苹果?这一切似乎有点疯狂。
更新 2:这个问题被Avast 论坛上的 Radek Brich 进一步解释为简单的 Avast 自我识别:
你好,我会补充一点信息。
该文件是由 MacOS 系统创建的,它实际上是“cpu 使用情况”诊断报告的一部分。创建报告是因为 Avast 在扫描期间大量使用 CPU。
UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) 标识了一个库,它是 Avast detections DB (algo.so) 的一部分。该文件的内容是从库中提取的调试信息。不幸的是,这似乎包含一个字符串,作为回报,Avast 将其检测为恶意软件。
(“粗鲁”文本可能只是恶意软件的名称。)
| 归档时间: |
|
| 查看次数: |
14912 次 |
| 最近记录: |