Trójait tölthettek le a népszerű mac-es videókonverterrel

Meghekkelték a Handbrake, az egyik legnépszerűbb ingyenes mac-es videókonverter másodlagos szerverét, közölték a nyílt forráskódú szoftver fejlesztői, és egyben figyelmeztettek arra, hogy akik május 2. és 6. között töltötték le a terméküket, ötven százalék eséllyel fertőzték meg gépüket egy rosszindulatú programmal.

A fejlesztők közleménye szerint azok, akik a megadott időintervallumban [02/May/2017 14:30 UTC] és [06/May/2017 11:00 UTC] között töltötték le a programot a feltört tükörszerverről, jobban teszik, ha ellenőrzik, milyen folyamatok futnak épp a gépükön. Ha az OSX Activity Monitor listáján szerepel egy "Activity_agent" néven futó processz, akkor baj van.

A szombaton kiadott közlemény szerint a behatoló lecserélte a download.handbrake.fr című szerveren tárolt telepítő file-t (HandBrake-1.0.7.dmg) egy olyanra, ami az OSX.PROTON trójai programot is tartalmazta. Telepítés után a rosszindulatú szoftver root-szintű hozzáférést biztosít a hekkereknek bármely fertőzött géphez.

Amennyiben a telepítés ellenőrzésekor a következő checksum értékeket kapja a felhasználó, szintén fertőzött a gépe:

• SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
• SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

A következőképp lehet eltávolítani a trójait:

A “Terminal” app megnyitása utána következő parancssort kell futtatni:

• launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.appif ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Ezután el kell távolítani magát a “HandBrake.app” programot is. A biztonság kedvéért érdemes minden OSX KeyChain-ben, vagy böngészőben tárolt jelszavat megváltoztatni. És, hát, sose lehet tudni alapon, jobb, ha így tesz minden Handbrake felhasználó.

Azok, akik a szoftver beépített telepítőjével frissítették esetleg a megadott időközben a programot, akkor fertőződhettek meg, ha a 0.10.5-ös, vagy ennél korábbi verzióról frissítettek.

A fertőzött szervert természetesen már lekapcsolták, a közlemény szerint a fő szerverüket és honlapjukat nem érte támadás, onnan továbbra is biztonságosan letölthető a szoftver.