HandBrake til Mac Mirror Server blev kompromitteret og inficeret med PROTON Malware

HandBrake er en open source og gratis transcoder til digitale videofiler. Det gør at rippe en film fra en dvd til en datalagringsenhed som f.eks. NAS-kasser lettere. HandBrake virker Linux, MacOS og Windows. En ny version af håndbremse til Mac og muligvis andre downloads på samme sted inficeret med malware. Hvis du har downloadet HandBrake på Mac mellem 2 / May / 2017 og 06 / May / 2017, skal du slette filen ASAP. HandBrake inficeret med en ny variant af OSX.PROTON malware.

Håndbremsen
Håndbremsen

Hvad skete der?

  1. HandBrake-1.0.7.dmg blev erstattet af en anden ukendt ondsindet fil, der IKKE matcher SHA1 / SHA256 hasherne på vores hjemmeside eller på vores Github Wiki, som spejler disse: https://github.com/HandBrake/HandBrake/wiki/Checksums
  2. Det berørte downloadspejl (download.handbrake.fr) er lukket for undersøgelse.
  3. Den primære download-spejl og hjemmeside var upåvirket.
  4. Overførsler via applikationsindbygget opdaterer med 1.0 og senere er upåvirket. Disse er verificeret af en DSA signatur og vil ikke installere, hvis de ikke bestås.
  5. Overførsler via den indbyggede opdateringsprogram til applikationer med 0.10.5 og tidligere har ikke verificeret, så du bør tjekke dit system med disse ældre udgivelser

Hvordan finder jeg ud af, om min MacOS blev kompromitteret?

Fra det officielle forum:

Hvis du ser en proces kaldet "Activity_agent" i OSX Activity Monitor applikationen. Du er smittet. Til reference, hvis du har installeret en HandBrake.dmg med følgende checksums, vil du også blive inficeret:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Den pågældende trojan er en ny variant af OSX.PROTON

Hvordan fjerner jeg det?

Åbn "Terminal" applikationen og kør følgende kommandoer:
$ launchctl unload ~ / Library / LaunchAgents / fr.handbrake.activity_agent.plist $ rm -rf ~ / Bibliotek / RenderFiles / activity_agent.app
hvis ~ / Bibliotek / VideoFrameworks / indeholder proton.zip, fjern mappen. Fjern derefter eventuelle "HandBrake.app" -installationer, du måtte have.

Forbindelse mellem transmissionens malware hack

Det ser ud til, at forfatteren / udvikleren af ​​transmission og håndbremse er de samme mennesker. I den tidligere transmission er downloadet erstattet med inficeret malware også. Sammentræf? Det tror jeg ikke.

For mere info se:

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.