Sicherheitswarnung: Handbrake mit Trojaner verseucht (OS X / macOS)

By | 7. Mai 2017

Logo von Handbrake

In der aktuellen Version 1.0.7 der beliebten Open Source Video Transcoder Software hat sich ein Trojaner eingeschlichen der es in sich hat. Die Schadsoftware liest gespeicherte Passwörter aus dem Schlüsselbund von OS X bzw. macOS. Aufgetreten ist das ernste Problem durch einen kompromittierten Download-Server.

Download Server des Open Source Projekts Handbrake kompromittiert

Betroffen von diesem Sicherheitsproblem sind Nutzer, die im Zeitraum vom 02. Mai 2017 14:30 Uhr (UTC) bis 06. Mai 2017 11:00 (UTC) über den Download-Mirror download.handbrake.fr heruntergeladen haben. Die Datei HandBrake-1.0.7.dmg wurde durch eine andere, mit Schadcode versehene Datei ersetzt, bei der auch die SHA1 / SHA256 Checksums von denen der originalen Datei abweichen.

Überprüfung deines eigenen Systems

Um festzustellen ob du von der neuen Variante des OSX.PROTON Trojaner betroffen bist führe bitte folgende Schritte durch:

  • Prüfe in deiner Aktivitätsanzeige ob ein Prozess mit dem Namen „Activity_agent“ vorhanden ist
  • Prüfe, sofern du die heruntergeladene DMG-Datei von Handbrake noch vorliegen hast, ob die SHA 1 / SHA256 Checksum korrekt ist. Diese Prüfung führst du mit folgendem Befehl durch (Terminal öffnen und eingeben:)
    •  „shasum -a 1 HandBrake-1.0.7.dmg && shasum -a 256 HandBrake-1.0.7.dmg“ (Bitte wechsle vorher in das Verzeichnis, in dem sich die DMG befindet (z.B. mit „cd ~/Downloads“)
      • Die korrekte Checksum einer nicht betroffenen Datei lautet: 6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9 (SHA 1) und 3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2 (SHA 256)
      • Die Checksum der betroffenen Datei lautet: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274 (SHA 1) und 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793 (SHA 256)
  • Sollte die Checksum nicht korrekt und / oder der Prozess „Activity_agent“ vorhanden sein, ist dein System betroffen. Bitte führe dann die nachfolgenden Schritte durch.

Entfernung des Trojaners

Sollte dein System von diesem in Handbrake eingeschleusten Trojaner betroffen sein, führe bitte folgende Schritte durch:

  • Öffne ein Terminal und gib folgende Befehle ein:
    • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
    • rm -rf ~/Library/RenderFiles/activity_agent.app
    • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
  • Entferne danach bitte die Handbrake-Applikation aus deinem Programme-Ordner
  • Ganz wichtig: Nach aktuellen Erkenntnissen und Informationen ist es unbedingt notwendig, sämtliche Passwörter die auf deinem System gespeichert sind (z.B. im OS X / macOS Schlüsselbund oder im Passwort-Speicher deines Browsers) zu ändern. Der Trojaner hat Zugriff auf diese Daten!

Weitere Informationen

Der primäre Download-Mirror und die Website selbst seien von der Sicherheitslücke nicht betroffen, so das Handbrake-Projekt. Weitere Informationen erhältst du direkte im Forum von Handbrake.

An diesem Beispiel zeigt sich erneut, wie wichtig es ist, Checksummen von heruntergeladenen Dateien zu vergleichen und zu überprüfen. Auch bei der bekannten und beliebten Linux Distribution Linux Mint ist vor nicht allzu langer Zeit ein ähnliches Problem mit einer kompromittierten ISO-Datei aufgetreten.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.