2271658

Server-Hack: Handbrake-Download war mehrere Tage mit Malware verseucht

08.05.2017 | 11:17 Uhr | Stephan Wiesend

Die Mac-Version 1.0.7 von Handbrake war mehrere Tage am Wochenende mit dem Trojaner Proton infiziert.

Der Videokonverter Handbrake ist eines der beliebtesten Mac-Programme, das macht es auch zum lohnenden Ziel f├╝r Hacker. Wie die Betreiber am Samstag berichteten , hatten Unbekannte die Download-Datei auf einem Mirror-Server durch eine mit Malware verseuchte Version ersetzt. Nutzer, die zwischen dem zweiten und sechsten Mai die Datei herunterluden, haben deshalb eine 50/50-Chance, dass sie bei der Installation auch den Trojaner Proton auf ihren Rechner geholt haben ÔÇô einen Trojaner, der Passw├Ârter stiehlt. Nicht betroffen waren Nutzer, die Handbrake in diesem Zeitraum ├╝ber das interne Update-System der App aktualisiert haben.

Die Anzahl der betroffenen Mac-Anwender k├Ânnte relativ hoch sein, das Programm ist sehr beliebt. Auch von Virenscannern wurde die Malware nicht erkannt, laut Virustotal aktuell nur von Eset und Ikarus. Nutzer einer Schutzsoftware wie Block Block oder einer empfehlenswerten Ordner-Aktion , wurden aber ├╝ber den Zugriff auf einen kritischen Library-Ordner gewarnt. Eine erste Analyse der Malware finden Interessierte etwa bei Objective See .

Ob der eigene Rechner befallen ist, kann ein Anwender mit dem Dienstprogramm Aktivit├Ątsanzeige herausfinden: Ist hier ein Prozess namens Acitivity_agent aufgelistet, ist man infiziert. F├╝r das Entfernen des Trojaners, der etwa Passw├Ârter abf├Ąngt, kann man zwei Terminalbefehle eingeben: Mit ÔÇ×launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistÔÇť entfernt man die Startdatei, mit ÔÇ×rm -rf ~/Library/RenderFiles/activity_agent.appÔÇť die Malware selbst. Zus├Ątzlich sollte man im Benutzer-Ordner der Library ├╝berpr├╝fen, ob sich hier ein Ordner namens /RenderFiles/activity_agent.app befindet. Diesen sollte man l├Âschen, ebenso die App Handbrake im Programme-Ordner. Laut Projektbetreibern hat Apple mittlerweile die Schutzfunktion des Systems Xprotect aktualisiert, eine Installation der Malware sollte nicht mehr m├Âglich sein. Anwender, die betroffen waren, sollten besser ihre Passw├Ârter ├Ąndern, da die Malware einen Mac komplett ├╝berwacht und Passw├Ârter ausspioniert.

Ein ├Ąhnlicher Vorfall hatte vor einiger Zeit die Software Transmission betroffen, auch hier war die Download-Datei auf dem Server mit einer Malware infiziert.

Macwelt Marktplatz

2271658