Nachrichten

Beliebtes Tool wurde unterlaufen

Gehackt: HandBrake hat Malware installiert!

Software | HT4U.net
HandBrake ist ein beliebtes Tool zur Transkodierung von Videodateien. Die kostenlose und quelloffene Software wird insbesondere genutzt, um die Inhalte von DVDs und Blu-rays in andere Formate umzuwandeln. Zwischen dem 2. und 6. Mai 2017 kam HandBrake allerdings in schlechter Gesellschaft: Hacker hatten die Malware Proton in das Installationspaket für Mac OS eingeschleust.

Betroffen war ausschließlich der Download von HandBrake 1.0.7 für Mac OS über den Spiegel-Server download.handbrake.fr, auf den auch die Paketverwaltung Homebrew zugreift. Da der primäre Download-Server nicht gehackt wurde, besteht für Besucher, welche HandBrake in der fraglichen Zeit heruntergeladen haben, eine 50:50-Chance, dass sie sich den Trojaner eingefangen haben. Das manipulierte Archiv HandBrake.dmg passt nicht zu den offiziellen Prüfsummen! Dies zeigt einmal mehr, dass man sich nach einem erfolgreichen Download auch die Prüfsummen ansehen sollte.

Wie erkennt man eine Infektion?

Falls HandBrake.dmg eine der folgenden Prüfsummen hat, liegt eine Infektion vor:
  • SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
  • SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Falls die Aktivitätsanzeige von Mac OS einen Prozess namens "activity_agent" anzeigt, ist man ebenfalls infiziert.

Wie wird man den Schädling wieder los?

Betroffene sollen ein Terminal öffnen und die folgenden Befehlszeilen eingeben:
    launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
    rm -rf ~/Library/RenderFiles/activity_agent.app

Sollte der Ordner "~/Library/VideoFrameworks/" ein Archiv namnes "proton.zip" enthalten, empfiehlt es sich, gleich den ganzen Ordner zu entfernen. Zum Abschluss entfernt man alle Installationen der "HandBrake.app".

Unbedingt die Passwörter ändern!

Da Proton die Passwörter stiehlt, muss man alle Passwörter aus der Key-Chain von Mac OS sowie alle im Webbrowser gespeicherten Passwörter ändern.

Autor: mid
[]







Stichworte zur Meldung: Handbrake Hat Malware Installiert! Gehackt: