2271658

Server-Hack: Handbrake-Download war mehrere Tage mit Malware verseucht

08.05.2017 | 11:17 Uhr |

Die Mac-Version 1.0.7 von Handbrake war mehrere Tage am Wochenende mit dem Trojaner Proton infiziert.

Der Videokonverter Handbrake ist eines der beliebtesten Mac-Programme, das macht es auch zum lohnenden Ziel für Hacker. Wie die Betreiber am Samstag berichteten , hatten Unbekannte die Download-Datei auf einem Mirror-Server durch eine mit Malware verseuchte Version ersetzt. Nutzer, die zwischen dem zweiten und sechsten Mai die Datei herunterluden, haben deshalb eine 50/50-Chance, dass sie bei der Installation auch den Trojaner Proton auf ihren Rechner geholt haben – einen Trojaner, der Passwörter stiehlt. Nicht betroffen waren Nutzer, die Handbrake in diesem Zeitraum über das interne Update-System der App aktualisiert haben.

Die Anzahl der betroffenen Mac-Anwender könnte relativ hoch sein, das Programm ist sehr beliebt. Auch von Virenscannern wurde die Malware nicht erkannt, laut Virustotal aktuell nur von Eset und Ikarus. Nutzer einer Schutzsoftware wie Block Block oder einer empfehlenswerten Ordner-Aktion , wurden aber über den Zugriff auf einen kritischen Library-Ordner gewarnt. Eine erste Analyse der Malware finden Interessierte etwa bei Objective See .

Ob der eigene Rechner befallen ist, kann ein Anwender mit dem Dienstprogramm Aktivitätsanzeige herausfinden: Ist hier ein Prozess namens Acitivity_agent aufgelistet, ist man infiziert. Für das Entfernen des Trojaners, der etwa Passwörter abfängt, kann man zwei Terminalbefehle eingeben: Mit „launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist“ entfernt man die Startdatei, mit „rm -rf ~/Library/RenderFiles/activity_agent.app“ die Malware selbst. Zusätzlich sollte man im Benutzer-Ordner der Library überprüfen, ob sich hier ein Ordner namens /RenderFiles/activity_agent.app befindet. Diesen sollte man löschen, ebenso die App Handbrake im Programme-Ordner. Laut Projektbetreibern hat Apple mittlerweile die Schutzfunktion des Systems Xprotect aktualisiert, eine Installation der Malware sollte nicht mehr möglich sein. Anwender, die betroffen waren, sollten besser ihre Passwörter ändern, da die Malware einen Mac komplett überwacht und Passwörter ausspioniert.

Ein ähnlicher Vorfall hatte vor einiger Zeit die Software Transmission betroffen, auch hier war die Download-Datei auf dem Server mit einer Malware infiziert.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

2271658