Handbrake-Installer verteilte Malware

Handbrake-Installer verteilt Malware

Wer zwischen dem 2. und 6. Mai 2017 von der offiziellen Seite handbrake.fr den aktuellen Handbrake-Installer (… 1.0.7.dmg) geladen und ausgeführt hat, muss leider seinen Mac auf mögliche Malware untersuchen. Laut den Entwicklern des Open-Source-Video-Transcoder besteht eine 50:50-Chance, dass der Installer eine Variante des Mac-Trojaners Osx.Proton enthielt.

Nur wenige Virenscanner erkennen momentan das Problem auch als solches. Apple hat schnell reagiert und eine XProtect-Signatur verteilt, die zukünftige Installationen – mit den derzeit bekannten Hashes – verhindern soll. Wer versucht hat Handbrake ab Version 0.10.5 über den programminternen Updater zu aktualisieren, sollte keine Probleme mit einem infizierten .dmg bekommen, da eine Signaturprüfung vorgenommen wird. Die infizierten Hashes lauten:

SHA1:0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256:013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Wer Handbrake aus einem infizierten .dmg installiert, wird danach aufgefordert Benutzername und Passwort einzugeben, um »weitere Codecs zu installieren«. Damit weitet die Malware die eigenen Rechte aus und kann unter anderem Passwörter abgreifen.

Handbrake-Installer und Malware entfernen

Ein mögliche Infizierung kann man mittels der »Aktivitätsanzeige« in macOS prüfen. Ist die Malware aktiv, taucht hier ein Prozess namens »activity_agent« auf. Im Handbrake-Forum wird dann auch ein Weg beschrieben, wie man die Malware wieder entfernen kann:

1) launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
2) rm -rf ~/Library/RenderFiles/activity_agent.app
3) Wenn ~/Library/VideoFrameworks/ ein »proton.zip« enthält: diesen Ordner löschen
4) Handbrake löschen

War ein Mac infiziert, sollten die Passwörter im Schlüsselbund von macOS geändert werden. Ebenso Passwörter, die in Browsern hinterlegt wurden. Wie genau das infizierte .dmg auf dem Mirror download.handbrake.fr gelandet ist, ist derzeit noch unklar.

Schreibe einen Kommentar

Hinweis: Kommentare werden moderiert und erscheinen zeitverzögert

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.