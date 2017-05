HandBrake ist ein beliebtes Tool zur Transkodierung von Videodateien. Die kostenlose und quelloffene Software wird insbesondere genutzt, um die Inhalte von DVDs und Blu-rays in andere Formate umzuwandeln. Zwischen dem 2. und 6. Mai 2017 kam HandBrake allerdings in schlechter Gesellschaft: Hacker hatten die Malware Proton in das Installationspaket für macOS eingeschleust.

Betroffen war ausschließlich der Download von HandBrake 1.0.7 für macOS über den Spiegel-Server download.handbrake.fr, auf den auch die Paketverwaltung Homebrew zugreift. Da der primäre Download-Server nicht gehackt wurde, besteht für Besucher, welche HandBrake in der fraglichen Zeit heruntergeladen haben, eine 50/50-Chance, dass sie sich den Trojaner eingefangen haben. Das manipulierte Archiv HandBrake.dmg passt nicht zu den offiziellen Prüfsummen! Dies zeigt einmal mehr, dass man sich nach einem erfolgreichen Download auch die Prüfsummen ansehen sollte.

Wie erkennt man eine Infektion?

Falls HandBrake.dmg eine der folgenden Prüfsummen hat, liegt eine Infektion vor:

SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274

SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Falls die Aktivitätsanzeige von macOS einen Prozess namens "activity_agent" anzeigt, ist man ebenfalls infiziert.

Wie wird man den Schädling wieder los?

Betroffene sollen ein Terminal öffnen und die folgenden Befehlszeilen eingeben:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist

rm -rf ~/Library/RenderFiles/activity_agent.app

Sollte der Ordner "~/Library/VideoFrameworks/" ein Archiv namnes "proton.zip" enthalten, empfiehlt es sich, gleich den ganzen Ordner zu entfernen. Zum Abschluss entfernt man alle Installationen der "HandBrake.app".

Unbedingt die Passwörter ändern!

Da Proton die Passwörter stiehlt, muss man alle Passwörter aus der Key-Chain von macOS sowie alle im Webbrowser gespeicherten Passwörter ändern.