昨日、Avastウイルス対策ソフトを使ってシステムをフルスキャンしたところ、感染ファイルが見つかりました。ファイルの場所は
/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64
Avast は感染ファイルを .Avast として分類しています
JS:Cryptonight [Trj]
そこで、ファイルを削除した後、他にもファイルがあるかどうかを確認するために、システムのフルスキャンを何度か行いましたが、何も見つかりませんでした。今日、macbook proを再起動するまで、何も見つかりませんでした。ファイルは同じ場所に再表示されました。そこで私はAvastにそれをウイルスチェストに入れさせ、ラップトップを再起動することにしましたが、またしてもファイルは同じ場所に再び現れました。そのため、ラップトップを再起動するたびにウイルスがファイルを再作成しています
私はラップトップを拭いて、すべてを再インストールすることを避けたいので、私はここにいる理由です。私は、ファイルパスとcryptonightを研究し、cryptonightは/暗号通貨を採掘するために誰かのコンピュータのバックグラウンドで実行することができます悪意のあるコードであることがわかりました。私は、CPU使用率、メモリ、ネットワークを監視していますが、奇妙なプロセスが実行されているのを見たことがありません。私のCPUは30%以下で動作しており、RAMは概ね5GB以下(16GBをインストール)で、ネットワークでは大量のデータを送受信するプロセスはありませんでした。なので、バックグラウンドで何かがマイニングをしているのか、全くわかりません。どうすればいいのか、全く手掛かりがない
私のAvastは毎週システムのフルスキャンを実行しているので、これは最近今週問題になったばかりです。全てのクローム拡張機能をチェックしましたが、何も異常はなく、新しいMac OS (macOS High Sierra 10.13.1)以外にも、この一週間は特別なものをダウンロードしていません。なので、正直どこから来たのかさっぱりわからないし、どうやって消したらいいのかもわかりません。誰か助けてください
この「ウイルス」はAppleのアップデートから来ていると思われ、OSを起動/再起動するたびにプリインストールされたファイルが作成されて実行されているのではないかと私は疑っています。しかし、私はMacBookを1台しか持っておらず、Macを持っている人でOSをHigh Sierraにアップデートした人は他にいないので、よくわかりません。しかし、Avastはこれを「Cryptonight」ウイルスの可能性があると表示し続けていますが、オンライン上では誰もこの問題について何も投稿していません。したがって、私はすでにAvast、malwarebytes、手動の両方でこのウイルスを除去しようとしているので、一般的なウイルス除去フォーラムは私の状況では役に立ちません
39 Lonely Twinky 2017-11-26
ウイルスもマルウェアもトロイの木馬もないし、彼のは偶然の偽陽性だ
/var/db/uuidtext/はmacOS Sierra (10.2)で導入された新しい「Unified Logging」サブシステムに関連しているので、誤検知の可能性が高いです。この記事で説明されているように
最初のファイルパス(
/var/db/diagnostics/)にはログファイルが含まれています。これらのファイルはlogdata.Persistent.YYYYMMDDTHHMMSS.tracev3のパターンに従ったタイムスタンプファイル名で名付けられています。これらのファイルはバイナリファイルなので、解析には macOS の新しいユーティリティを使う必要があります。このディレクトリには、追加のログ *.tracev3 ファイルやロギングメタデータを含む他のファイルも含まれています。2 番目のファイルパス (/var/db/uuidtext/) には、メインの *.tracev3 ログファイルの参照ファイルが含まれています
しかし、あなたの場合は、”魔法 “はハッシュから来ているようです
BC8EE8D09234D99DD8B85A99E46C64
この参照既知のWindowsマルウェアファイルをチェックしてみてください。おめでとうございます。あなたのMacは、主にWindowsシステムで見られる既知のベクターと一致するファイル名を魔法のように作成しました…しかし、あなたはMacを使っていて、このファイル名は “Unified Logging “データベースシステムのファイル構造に接続されたハッシュに過ぎず、それがマルウェアのファイル名と一致するのは完全に偶然であり、何の意味もないはずです
そして、特定のファイルが再生されるように見える理由は、上記の説明からこの詳細に基づいています
2 番目のファイルパス (
/var/db/uuidtext/) には、メインの *.tracev3 ログファイル内の参照ファイルが含まれています
そのため、/var/db/uuidtext/のファイルを削除しても、/var/db/diagnostics/のファイルへの参照にしかなりません。そのため、再起動したときにファイルがなくなっていることを確認して、/var/db/uuidtext/に再作成します
さて、どうすればいいのでしょうか?さて、Avast のアラートを我慢するか、Onyx のようなキャッシュクリーニングツールをダウンロードして、ログをシステムから本当にパージすることで、ログを再作成することができます; その 1 つの BC8EE8D09234D99DD8B85A99E46C64 ファイルだけではありません。願わくば、完全なクリーニングの後に再生成されたファイルのハッシュ名が、誤って既知のマルウェアファイルと再び一致しないことを願っています
UPDATE 1: アバストのスタッフが問題を認識しているようです このフォーラムのこの投稿で
私はこれが誤検出であることを確認することができます。superuser.comの投稿は、この問題を非常によく説明しています – MacOSは、悪意のある暗号通貨マイナーの断片を含むファイルを誤って作成してしまったようですが、これもまた、私たちの検出の1つをトリガーするために起こっています
さて、この文で本当におかしいのは、「…MacOSは誤って悪質なクリプトカレンシーマイナーの断片を含むファイルを作成してしまったようです」というフレーズです
これはAppleのmacOSソフトウェア開発チームの誰かが「偶然」システムを設定して、既知の悪意のあるクリプトカレンシーマイナのニュートラルフラグメントを生成したということでしょうか?誰かこれについてAppleに直接連絡した人はいますか?これはすべてが少し狂っているように思えます
UPDATE 2: この問題はfurther explained by someone Radek Brich the Avast forums単にアバストが自分自身を自己識別するように説明されています
こんにちは、少しだけ補足します
このファイルは MacOS システムによって作成され、実際には “cpu usage” 診断レポートの一部です。このレポートは、Avastがスキャン中にCPUを多用するために作成されます
UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) は、Avast detections DB (algo.so) の一部であるライブラリを識別します。ファイルの内容は、ライブラリから抽出したデバッグ情報です。残念ながら、これにはAvastによってマルウェアとして検出された文字列が含まれているようです
(「失礼な」文章はマルウェアの名前に過ぎないのでしょう)
67 Giacomo1968 2017-11-26
