Mac-Version von Handbrake mit Malware verteilt

Handbrake hatte 2016 nach 13 Jahren seine Betaphase verlassen.

Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet.

Einer der Mirror-Server der Mac-Version des beliebten Open-Source-Videotools Handbrake hat über mehrere Tage eine mit Malware infizierte Version der App verteilt. Das teilten die Entwickler am Wochenende in einem Advisory mit. Demnach steckte in dem Download neben Handbrake selbst eine neue Variante der Malware “Proton”, bei der es sich möglicherweise um einen vor einigen Monaten in Cybercrime-Foren gehandelten Schädling gleichen Namens handelt.

Ein Download-Server betroffen, ein anderer nicht

Laut Handbrake-Team hatten Nutzer zwischen dem 2. Mai und dem 6. Mai 2017 eine “50:50-Chance”, sich den infizierten macOS-Download eingefangen zu haben. Ist dieser auf dem Rechner, läuft ein Prozess namens “Activity_agent”, den man mit Hilfe der Aktivitätsanzeige des Betriebssystems auffinden kann. Das Handbrake-Team gab außerdem die SHA1- und SHA256-Checksummen des infizierten Download-Pakets durch. Um diese zu überprüfen, muss man das Dienstprogramm Terminal starten ? eine Anleitung mit den notwendigen Kommandos findet sich hier.

Details zur Entfernung von Proton in Handbrake

Eine Entfernungsanleitung für Proton hat das Handbrake-Team ebenfalls veröffentlicht. Auch hier muss man einen Ausflug ins Terminal unternehmen. Die notwendigen Befehle lauten:

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app

Sollte der Ordner “~/Library/VideoFrameworks/” vorhanden sein und “proton.zip” enthalten, sollte dieser entfernt werden. Anschließend wird HandBrake.app selbst, das infizierte Hauptprogramm, gelöscht. Es liegt im Anwendungsordner.

Entfernung reicht nicht aus

Die Handbrake-Macher warnen davor, dass die Entfernung von Proton allein wahrscheinlich nicht ausreicht. Die Malware könnte Passwörter aus dem macOS-Schlüsselbund sowie den Passwortdatenbanken auf dem System installierten Browser entwendet haben. Die Entwickler empfehlen, “alle” dort vorgehaltenen Passwörter zu ändern ? was in vielen Fällen eine große Mühe bedeuten dürfte. Proton erhält Zugriff auf das System, weil das veränderte Handbrake beim ersten Start die Eingabe des Administrationspassworts “zur Installation zusätzlicher Codecs” verlangt.

Apple ist informiert

Apple wurde mittlerweile informiert ? der Konzern dürfte seine XProtect-Datenbank, die einen Ausführungsschutz für bekannte Malware darstellt, demnächst ergänzt haben. Infizierte Downloads sollen vom Server “download.handbrake.fr” gekommen sein, die mittlerweile offline genommen wurde. Der Hauptmirror von Handbrake war dagegen laut Handbrake-Team sauber.

Downloads, die mit dem Updater auf den Rechner kamen, der seit Version 1.0 von Handbrake verfügbar ist, sind laut Handbrake-Team ebenfalls nicht betroffen, weil diese mittels DSA-Signatur überprüft und gegebenfalls nicht installiert werden. Wurde der Updater von Version 0.10.5 oder früher genutzt, könnte man sich den Schädling ebenfalls eingefangen haben, weil hier die DSA-Überprüfung im Rahmen der Update-Funktion fehlt. Der Fall erinnert an einen in einer anderen freien App steckenden Schädling. Damals war ein macOS-P2P-Client betroffen: Transmission. (bsc)

Und hier Danke

  • Billard-Landesmeisterschaften mit Pforzheimer Sieger im Karambol-Dreiband

    In der Vorrunde wurde Dimmler Erster seiner Vierergruppe, Max Augenstein landete in seiner Gruppe auf Rang zwei hinter Titelverteidiger Jürgen Adler aus Viernheim. Somit kam es im Halbfinale zum Duell der Pforzheim, das Augenstein für sich entschied. Im Finale ging es für den Pforzheimer erneut gegen Adler. Während Augenstein dabei seinen besten Durchschnitt von 0,89 […]

  • Möbel-Recycling mal anders: Gottlob gibt es Menschen mit tollen Ideen

    Aus alten Materialien Möbel herzustellen brachte die Behinderteneinrichtung der Katholischen Jugendfürsorge in Straubing auf die Idee, als Recycling-Material ausrangierte Gotteslob-Bücher zu verwenden. Dabei handelt es sich sowohl um Gesangs- als auch um Gebetsbücher, die von ihren Besitzern aufgrund eines Qualitätsmangels nicht mehr verwendet werden. Die Einrichtung wird dabei von dem Verein ?Kunst am Rand? aus […]

  • Microsoft Windows: Das S steht für Bildung

    Inhalt Seite 1 ? Das S steht für Bildung Seite 2 ? Der Surface Laptop als superedles Vorzeigemodell Auf einer Seite lesen Vor nicht einmal zwei Jahren hat Microsoft-CEO Satya Nadella noch den Eindruck erweckt, dass es ihm egal ist, auf wessen Hardware die Software seines Unternehmens läuft. Hauptsache, die Programme schaffen es auf die […]

  • Rebellion kündigt Evil Genius 2 an: Kein Remake, kein Free-to-Play

    Der erste Teil von Evil Genius ist auf Steam mit 95 Prozent bewertet. Schon vor zwei Jahren versicherte Rebellion am B2B-Stand auf der gamescom, dass Evil Genius 2 auf jeden Fall kommen werde. Mehr ließ sich der Publisher und Entwickler damals jedoch nicht aus der Nase ziehen. Der Grund dafür wurde nun in der offiziellen […]

  • heise-Angebot: c’t Webdesign: Mehr Visits, mehr Erfolg

    Was macht eine moderne Website aus ? und was macht sie erfolgreich? Diese (und andere) Fragen beantwortet das neue Sonderheft c’t Webdesign. Es ist ab sofort online erhältlich. “Mehr Visits, mehr Erfolg” ? das ist das Motto des neuen Sonderhefts c’t Webdesign, das ab sofort im Heise-Shop verfügbar ist. In diesem Sinne erklärt das Heft […]