Mac-Version von Handbrake mit Malware verteilt

Handbrake hatte 2016 nach 13 Jahren seine Betaphase verlassen.

Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet.

Einer der Mirror-Server der Mac-Version des beliebten Open-Source-Videotools Handbrake hat über mehrere Tage eine mit Malware infizierte Version der App verteilt. Das teilten die Entwickler am Wochenende in einem Advisory mit. Demnach steckte in dem Download neben Handbrake selbst eine neue Variante der Malware “Proton”, bei der es sich möglicherweise um einen vor einigen Monaten in Cybercrime-Foren gehandelten Schädling gleichen Namens handelt.

Ein Download-Server betroffen, ein anderer nicht

Laut Handbrake-Team hatten Nutzer zwischen dem 2. Mai und dem 6. Mai 2017 eine “50:50-Chance”, sich den infizierten macOS-Download eingefangen zu haben. Ist dieser auf dem Rechner, läuft ein Prozess namens “Activity_agent”, den man mit Hilfe der Aktivitätsanzeige des Betriebssystems auffinden kann. Das Handbrake-Team gab außerdem die SHA1- und SHA256-Checksummen des infizierten Download-Pakets durch. Um diese zu überprüfen, muss man das Dienstprogramm Terminal starten ? eine Anleitung mit den notwendigen Kommandos findet sich hier.

Details zur Entfernung von Proton in Handbrake

Eine Entfernungsanleitung für Proton hat das Handbrake-Team ebenfalls veröffentlicht. Auch hier muss man einen Ausflug ins Terminal unternehmen. Die notwendigen Befehle lauten:

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app

Sollte der Ordner “~/Library/VideoFrameworks/” vorhanden sein und “proton.zip” enthalten, sollte dieser entfernt werden. Anschließend wird HandBrake.app selbst, das infizierte Hauptprogramm, gelöscht. Es liegt im Anwendungsordner.

Entfernung reicht nicht aus

Die Handbrake-Macher warnen davor, dass die Entfernung von Proton allein wahrscheinlich nicht ausreicht. Die Malware könnte Passwörter aus dem macOS-Schlüsselbund sowie den Passwortdatenbanken auf dem System installierten Browser entwendet haben. Die Entwickler empfehlen, “alle” dort vorgehaltenen Passwörter zu ändern ? was in vielen Fällen eine große Mühe bedeuten dürfte. Proton erhält Zugriff auf das System, weil das veränderte Handbrake beim ersten Start die Eingabe des Administrationspassworts “zur Installation zusätzlicher Codecs” verlangt.

Apple ist informiert

Apple wurde mittlerweile informiert ? der Konzern dürfte seine XProtect-Datenbank, die einen Ausführungsschutz für bekannte Malware darstellt, demnächst ergänzt haben. Infizierte Downloads sollen vom Server “download.handbrake.fr” gekommen sein, die mittlerweile offline genommen wurde. Der Hauptmirror von Handbrake war dagegen laut Handbrake-Team sauber.

Downloads, die mit dem Updater auf den Rechner kamen, der seit Version 1.0 von Handbrake verfügbar ist, sind laut Handbrake-Team ebenfalls nicht betroffen, weil diese mittels DSA-Signatur überprüft und gegebenfalls nicht installiert werden. Wurde der Updater von Version 0.10.5 oder früher genutzt, könnte man sich den Schädling ebenfalls eingefangen haben, weil hier die DSA-Überprüfung im Rahmen der Update-Funktion fehlt. Der Fall erinnert an einen in einer anderen freien App steckenden Schädling. Damals war ein macOS-P2P-Client betroffen: Transmission. (bsc)

Und hier Danke

  • Compiler: GCC 7.1 kennt die Sprachfeatures von C++17

    Die GNU Compiler Collection bietet in der neuen Hauptversion experimentellen Support für den aktuellen Draft von C++17. Außerdem gibt er erweiterte Hilfen bei potenziellen Tippfehlern in Feld- und Funktionsnamen sowie Makros und für enum-Typen. Passend zum bevorstehenden 30. Jubiläum der GNU Compiler Collection erscheint die neue Hauptversion mit der Nummer 7.1. Zu den wesentlichen Neuerungen […]

  • Was User und Onlinekunden wirklich wollen

    Es ist der heilige Gral des Online-Marketings: Was kann man tun, damit den Besuchern die eigene Site gefällt, der Shop attraktiv ist und sich somit das Konzept maximal lohnt? Utopische Feenstaub-Geheimnisse verraten wir hier keine, dafür aber fünf sinnvolle Realwelt-Antworten. Kein Mensch will Werbung sehen ? glauben zumindest viele. Andere sind der Ansicht, dass es […]

  • Smartphone-Akkus im Test: Akku-Flop oder Dauerläufer?

    Saturn-Schnäppchen: Zum Angebots-Check! Instagram Direct: Mit Bildern auf Storys antworten Telekom-Werbeanrufe: Nach Vertragsende unzulässig Gratis laden: Software-Tipp des Tages Raketenabwehr: GPS-Signal in Hamburg gestört Besser suchen: 32 clevere Suchtricks für Google Nike: Schuhverkauf bald via Instagram Aktuelle News Marathon-Modelle: Die Smartphone-Akkus im Test Medion Erazer X57425: Gaming-Monitor im Test Panasonic EXW784: Brillanter Fernseher im Test […]

  • Hasskommentare: Regierung nur zu minimalen Zugeständnissen bereit

    Inhalt Seite 1 ? Regierung nur zu minimalen Zugeständnissen bereit Seite 2 ? Die Regierung erkennt keinen Verstoß gegen EU-Recht Auf einer Seite lesen Die große Koalition will das geplante Gesetz gegen rechtswidrige Hasskommentare und strafbare Falschnachrichten im Internet in einigen Punkten überarbeiten. Das geht aus der Gegenäußerung der Bundesregierung auf die umfangreiche Kritik des […]

  • Alters- und Seniorenschießen: Senioren gut in Schuss

    Mit der Luftpistole war unter anderem der Ispringer Reinhold Linzer erfolgreich. Sieger beim Aufgelegtschießen wurden Holger Stange (Schwann/Luftgewehr) und Werner Schlegel (KKS Enzberg/Luftpistole).Eine Ehrenscheibe bleibt bis zur nächsten Auflage 2018 beim KKS Brötzingen bei Peter Schellenberger aus Enzberg. Er war mit der Luftpistole erfolgreich. weitere Nachrichten weitere News