macOS High Sierra의 Avast, Windows 전용 "Cryptonight"바이러스에 걸렸다 고 주장

어제 Avast 바이러스 백신 소프트웨어를 사용하여 전체 시스템 검사를 실행했으며 감염 파일을 발견했습니다. 파일의 위치는 다음과 같습니다.

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

Avast는 감염 파일을 다음과 같이 분류합니다.

JS:Cryptonight [Trj]

따라서 파일을 삭제 한 후 더 많은 파일이 있는지 확인하기 위해 몇 번 더 전체 시스템 검사를 수행했습니다. 오늘 맥북 프로를 다시 시작할 때까지 아무것도 찾지 못했습니다. 파일이 같은 위치에 다시 나타납니다. 그래서 Avast가 바이러스 상자에 넣고 랩톱을 다시 시작한 다음 파일이 다시 같은 위치에있게하기로 결정했습니다. 따라서 바이러스는 랩톱을 다시 시작할 때마다 파일을 다시 작성합니다.

랩톱을 지우고 모든 것을 다시 설치하는 것을 피하고 싶기 때문에 여기에 있습니다. 파일 경로와 암호화를 조사한 결과, 암호 화폐는 누군가의 컴퓨터에서 실행되어 암호 화폐를 채굴 할 수있는 악성 코드 일 수 있음을 알았습니다. CPU 사용량, 메모리 및 네트워크를 모니터링하고 있으며 단일 홀수 프로세스가 실행되는 것을 보지 못했습니다. CPU가 30 % 미만으로 실행 중이고 RAM이 일반적으로 5GB 미만 (16GB 설치)이며 네트워크에 많은 양의 데이터를 전송 / 수신하는 프로세스가 없습니다. 따라서 백그라운드에서 무언가가 채굴되고 있다면 전혀 말할 수 없습니다. 나는 무엇을 해야할지 전혀 모른다.

내 Avast는 매주 전체 시스템 검사를 실행하므로 최근에 이번 주에 문제가되었습니다. 크롬 확장 프로그램을 모두 확인했지만 순서가 잘못되었습니다. 지난 주에는 새로운 Mac 운영 체제 (macOS High Sierra 10.13.1) 외에 특별한 것을 다운로드하지 않았습니다. 그래서 나는 이것이 어디에서 솔직 해 졌는지에 대한 단서가 없으며 그것을 제거하는 방법에 대한 단서가 없습니다. 누군가 제발 도와주세요.

이 "바이러스"는 Apple 업데이트에서 제공되는 것이며 OS가 부팅 / 재부팅 될 때마다 생성되어 실행되는 사전 설치된 파일 일뿐입니다. 그러나 맥북이 하나뿐이기 때문에 맥이 OS를 High Sierra로 업데이트했다는 것을 아는 사람이 없기 때문에 확실하지 않습니다. 그러나 Avast는이를 잠재적 인 "Cryptonight"바이러스라고 계속 표시하고 있으며 온라인상에서이 문제에 대해 게시 한 사람은 없습니다. 따라서 Avast, malwarebytes 및 수동으로 이미 제거하려고 시도했기 때문에 일반적인 바이러스 제거 포럼은 내 상황에서 도움이되지 않습니다.

바이러스, 악성 코드 또는 트로이 목마가 없는지 확인하십시오.

/var/db/uuidtext/macOS Sierra (10.2)에 도입 된 새로운 "통합 로깅"하위 시스템과 관련되어 있기 때문에 오 탐지 가능성이 높습니다 . 이 기사는 다음과 같이 설명합니다 .

첫 번째 파일 경로 ( /var/db/diagnostics/)에는 로그 파일이 포함됩니다. 이 파일들은 패턴 다음에 타임 스탬프 파일 이름으로 명명됩니다 logdata.Persistent.YYYYMMDDTHHMMSS.tracev3. 이 파일들은 바이너리 파일로, macOS에서 새로운 유틸리티를 사용하여 파싱해야합니다. 이 디렉토리에는 추가 로그 * .tracev3 파일 및 로깅 메타 데이터가 포함 된 파일을 포함한 다른 파일이 포함되어 있습니다. 두 번째 파일 경로 ( /var/db/uuidtext/)에는 기본 * .tracev3 로그 파일에서 참조되는 파일이 포함되어 있습니다.

그러나 귀하의 경우 "마법"은 해시에서 비롯된 것 같습니다.

BC8EE8D09234D99DD8B85A99E46C64

하나의 특정 해시를 참조하는 알려진 Windows 맬웨어 파일에 대해서는 이 참조 를 확인하십시오 . 축하합니다! Mac은 Windows 시스템에서 주로 볼 수있는 알려진 벡터와 일치하는 파일 이름을 마술처럼 만들었습니다. 그러나 여러분은 Mac에 있으며이 파일 이름은 "통합 로깅"데이터베이스 시스템의 파일 구조에 연결된 해시 일뿐입니다. 그 파일 이름이 해당 악성 프로그램 파일 이름과 일치한다는 것은 우연의 일치입니다.

특정 파일이 재생성되는 이유는 위의 설명에서이 세부 사항을 기반으로합니다.

두 번째 파일 경로 ( /var/db/uuidtext/)에는 기본 * .tracev3 로그 파일에서 참조되는 파일이 포함되어 있습니다.

따라서 파일을에서 삭제 /var/db/uuidtext/하지만 파일에있는 모든 내용은 참조입니다 /var/db/diagnostics/. 다시 부팅하면 누락 된 것을 확인하고에서 다시 만듭니다 /var/db/uuidtext/.

지금 무엇을해야합니까? 글쎄, 당신은 Avast 경고를 허용하거나 Onyx 와 같은 캐시 정리 도구를 다운로드하고 시스템에서 진정으로 로그를 제거하여 강제로 로그를 다시 만들 수 있습니다. 하나의 BC8EE8D09234D99DD8B85A99E46C64파일 만이 아닙니다 . 전체 정리 후 재생성되는 파일의 해시 이름이 실수로 알려진 맬웨어 파일과 다시 일치하지 않기를 바랍니다.

업데이트 1 : Avast 직원 이 포럼 의이 게시물에서 문제 를 인정하는 것처럼 보입니다 .

이것이 오 탐지임을 확인할 수 있습니다. superuser.com 게시물은이 문제를 잘 설명하고 있습니다. MacOS는 우연히 우리의 탐지 중 하나를 유발하는 악의적 인 cryptocurrency 마이너 조각이 포함 된 파일을 생성 한 것으로 보입니다.

이 진술에서 정말 이상한 점은 다음과 같습니다. "

뭐? 이것은 Apple의 핵심 macOS 소프트웨어 개발 팀원이 시스템을 "우연히"설정하여 알려진 악의적 인 cryptocurrency 광부의 중성 조각을 생성했음을 의미합니까? 이 문제에 대해 Apple에 직접 연락 한 사람이 있습니까? 이 모든 것이 약간 미친 것 같습니다.

업데이트 2 :이 문제는 누군가 Radek Brich가 Avast 포럼 을 단순히 Avast 자체 확인으로 설명합니다.

안녕하세요. 정보를 조금 더 추가하겠습니다.

파일은 MacOS 시스템에서 생성되며 실제로는 "cpu 사용량"진단 보고서의 일부입니다. 스캔 중에 Avast가 CPU를 많이 사용하기 때문에 보고서가 작성됩니다.

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64)는 Avast detection DB (algo.so)의 일부인 라이브러리를 식별합니다. 파일의 내용이 라이브러리에서 추출 된 정보를 디버깅 중입니다. 불행히도 여기에는 Avast가 맬웨어로 탐지 한 문자열이 포함 된 것 같습니다.

"무례한 텍스트는 아마도 맬웨어의 이름 일뿐입니다.)