MacOS हाई सिएरा पर अवास्ट का दावा है कि इसने विंडोज-ओनली "क्रिप्टोनाइट" वायरस को पकड़ लिया है

कल मैंने अपने अवास्ट एंटीवायरस सॉफ़्टवेयर का उपयोग करके एक पूर्ण सिस्टम स्कैन चलाया और इसमें एक संक्रमण फ़ाइल मिली। फ़ाइल का स्थान है:

/private/var/db/uuidtext/7B/BC8EE8D09234D99DD8B85A99E46C64

अवास्ट संक्रमण फ़ाइल को निम्न के रूप में वर्गीकृत करता है:

JS:Cryptonight [Trj]

इसलिए, फ़ाइल को हटाने के बाद मैंने यह देखने के लिए कि क्या कोई और फाइलें थीं, जांचने के लिए कई और पूर्ण सिस्टम स्कैन किए। मुझे कुछ भी नहीं मिला, जब तक मैंने अपनी मैकबुक को फिर से शुरू नहीं किया, आज। फ़ाइल उसी स्थान पर फिर से दिखाई दी। इसलिए मैंने अवास्ट को वायरस के सीने में डालने का फैसला किया, लैपटॉप को फिर से शुरू किया, और फिर से फाइल फिर से उसी स्थान पर थी। इसलिए वायरस लैपटॉप के हर रिस्टार्ट को फाइल री-क्रिएट कर रहा है।

मैं लैपटॉप को पोंछने और सब कुछ फिर से स्थापित करने से बचना चाहता हूं, इसलिए मैं यहां हूं। मैंने फ़ाइल पथ और क्रिप्टोनाइट पर शोध किया और पाया कि क्रिप्टोनाइट एक दुर्भावनापूर्ण कोड हो सकता है जो किसी व्यक्ति के कंप्यूटर की पृष्ठभूमि में क्रिप्टोकरेंसी को चला सकता है। मैं अपने CPU उपयोग, मेमोरी और नेटवर्क की निगरानी कर रहा हूं और मैंने एक भी अजीब प्रक्रिया को नहीं देखा है। मेरा सीपीयू 30% से नीचे चल रहा है, मेरी रैम आम तौर पर 5GB (इंस्टॉल 16GB) से कम है, और मेरे नेटवर्क में बड़ी मात्रा में डेटा भेजने / प्राप्त करने की कोई प्रक्रिया नहीं है। इसलिए अगर कुछ पृष्ठभूमि में खनन कर रहा है, तो मैं बिल्कुल नहीं बता सकता। मुझे क्या करना है, कुछ पता नहीं।

मेरा अवास्ट हर हफ्ते फुल सिस्टम स्कैन चलाता है, इसलिए यह हाल ही में इस हफ्ते एक मुद्दा बन गया। मैंने अपने सभी क्रोम एक्सटेंशनों की जाँच की और कुछ भी क्रम से बाहर नहीं है, मैंने पिछले सप्ताह के भीतर कुछ विशेष डाउनलोड नहीं किया है, इसके अलावा नए मैक ऑपरेटिंग सिस्टम (macOS हाई सिएरा 10.13.1)। इसलिए मेरे पास कोई सुराग नहीं है कि यह ईमानदार कहां से आया है और इससे छुटकारा पाने के लिए मेरे पास कोई सुराग नहीं है। क्या कोई व्यक्ति कृपा करके मेरी सहायता करेगा।

मुझे लगता है कि यह माना जाता है कि यह "वायरस" Apple अपडेट से आ रहा है और यह केवल एक पूर्व-स्थापित फ़ाइल है जो ओएस के बूट / रिबूट होने पर हर बार बनाई और चलती है। लेकिन मैं अनिश्चित हूं क्योंकि मेरे पास केवल एक मैकबुक है और कोई नहीं जो मुझे पता है कि एक मैक ने ओएस को हाई सिएरा को अपडेट किया है। लेकिन अवास्ट इसे संभावित "क्रिप्टोनाइट" वायरस के रूप में लेबल करता रहता है और ऑनलाइन किसी और ने इस मुद्दे के बारे में कुछ भी पोस्ट नहीं किया है। इसलिए, एक आम वायरस हटाने वाला मंच मेरी स्थिति में सहायक नहीं है, क्योंकि मैंने पहले ही इसे अवास्ट, मालवेयरबाइट्स और मैन्युअल रूप से हटाने का प्रयास किया है।

बहुत यकीन है कि खेल में कोई वायरस, मैलवेयर या ट्रोजन नहीं है और यह सब एक अत्यधिक संयोग से झूठी सकारात्मक है।

यह सबसे अधिक संभावना है कि एक गलत सकारात्मक है क्योंकि /var/db/uuidtext/नए "यूनिफाइड लॉगिंग" सबसिस्टम से संबंधित है जिसे मैकओएस सिएरा (10.2) में पेश किया गया था। जैसा कि यह लेख बताता है :

पहले फ़ाइल पथ ( /var/db/diagnostics/) में लॉग फ़ाइलें हैं। इन फ़ाइलों को पैटर्न के बाद टाइमस्टैम्प फाइलनाम के साथ नामित किया गया है logdata.Persistent.YYYYMMDDTHHMMSS.tracev3। ये फाइलें बाइनरी फाइलें हैं जिन्हें हमें पार्स करने के लिए macOS पर एक नई उपयोगिता का उपयोग करना होगा। इस निर्देशिका में कुछ अन्य फ़ाइलों के साथ-साथ अतिरिक्त लॉग * .tvv3 फ़ाइलें और अन्य लॉगिंग मेटाडेटा शामिल हैं। दूसरी फ़ाइल पथ ( /var/db/uuidtext/) में ऐसी फाइलें हैं जो मुख्य * .tracev3 लॉग फ़ाइलों में संदर्भ हैं।

लेकिन आपके मामले में "जादू" हैश से आता है:

BC8EE8D09234D99DD8B85A99E46C64

बस ज्ञात Windows मैलवेयर फ़ाइलों के लिए इस संदर्भ को देखें जो एक विशिष्ट हैश का संदर्भ देते हैं। बधाई हो! आपके मैक ने जादुई रूप से एक फ़ाइल नाम बनाया है जो एक ज्ञात वेक्टर से मेल खाता है जो मुख्य रूप से विंडोज सिस्टम पर देखा गया है ... लेकिन आप एक मैक पर हैं और यह फ़ाइल नाम सिर्फ एक हैश है जो "यूनिफाइड लॉगिंग" डेटाबेस सिस्टम की फाइल संरचना से जुड़ा है और यह है पूरी तरह से संयोग है कि यह मेलवेयर फ़ाइल नाम से मेल खाता है और इसका कोई मतलब नहीं होना चाहिए।

और कारण यह है कि विशिष्ट फ़ाइल को पुनर्जीवित करने के लिए लगता है कि उपरोक्त विवरण से इस विस्तार पर आधारित है:

दूसरी फ़ाइल पथ ( /var/db/uuidtext/) में ऐसी फाइलें हैं जो मुख्य * .tracev3 लॉग फ़ाइलों में संदर्भ हैं।

तो आप फ़ाइल को हटाते हैं /var/db/uuidtext/, लेकिन यह सब एक संदर्भ है जो इसमें है /var/db/diagnostics/। इसलिए जब आप रिबूट करते हैं, तो यह देखता है कि यह गायब है और इसे फिर से बनाता है /var/db/uuidtext/।

अभी क्या करना है? खैर, आप या तो अवास्ट अलर्ट को सहन कर सकते हैं या आप गोमेद जैसे कैश क्लीनिंग टूल को डाउनलोड कर सकते हैं और लॉग्स को अपने सिस्टम से सही तरीके से शुद्ध करके रीक्रिएट किया जा सकता है; सिर्फ एक BC8EE8D09234D99DD8B85A99E46C64फाइल नहीं। उम्मीद है कि पूर्ण सफाई के बाद पुन: प्राप्त होने वाली फ़ाइलों का हैश नाम गलती से ज्ञात मालवेयर फाइल से फिर से मेल नहीं खाएगा।

अद्यतन 1 : ऐसा लगता है कि अवास्ट के कर्मचारी अपने मंचों पर इस पोस्ट में इस मुद्दे को स्वीकार करते हैं :

मैं पुष्टि कर सकता हूं कि यह एक झूठी सकारात्मक है। Superuser.com पोस्ट में इस मुद्दे का अच्छी तरह से वर्णन किया गया है - मैकओएस ने गलती से एक फ़ाइल बनाई है जिसमें दुर्भावनापूर्ण क्रिप्टोक्यूरेंसी माइनर के टुकड़े होते हैं जो हमारे एक डिटेक्ट को ट्रिगर करने के लिए भी होता है।

अब इस कथन के बारे में जो वास्तव में अजीब है वह वाक्यांश है, “ … मैकओएस ने गलती से एक फाइल बनाई है जिसमें दुर्भावनापूर्ण क्रिप्टोक्यूरेंसी माइनर के टुकड़े हैं। "

क्या? क्या इसका मतलब यह है कि Apple पर किसी भी तरह से मुख्य macOS सॉफ़्टवेयर डेवलपमेंट टीम में किसी ने "गलती से" सिस्टम को सेटअप कर दिया है ताकि यह किसी ज्ञात दुर्भावनापूर्ण क्रिप्टोक्यूरेंसी माइनर के न्युरेटेड टुकड़े उत्पन्न करे? क्या किसी ने इस बारे में सीधे Apple से संपर्क किया है? यह सब कुछ पागल सा लगता है।

अद्यतन 2 : इस मुद्दे को किसी और ने खुद को अवास्ट स्वयं पहचानने के रूप में अवास्ट मंचों Radek Brich द्वारा समझाया गया है:

नमस्कार, मैं अभी थोड़ी और जानकारी जोड़ूंगा।

फ़ाइल MacOS सिस्टम द्वारा बनाई गई है, यह वास्तव में "सीपीयू उपयोग" नैदानिक ​​रिपोर्ट का हिस्सा है। रिपोर्ट इसलिए बनाई गई है क्योंकि अवास्ट स्कैन के दौरान सीपीयू का भारी उपयोग करता है।

UUID (7BBC8EE8-D092-34D9-9DD8-B85A99E46C64) एक लाइब्रेरी की पहचान करता है जो अवास्ट डिटेक्शन डीबी (algo.so) का एक हिस्सा है। फ़ाइल की सामग्री लायब्रेरी से निकाली गई जानकारी डीबगिंग है। दुर्भाग्य से, इसमें एक स्ट्रिंग शामिल है जो बदले में अवास्ट द्वारा एक मैलवेयर के रूप में पाया गया है।

("असभ्य" ग्रंथ शायद मालवेयर के नाम हैं।)