Mellom 2. mai og 6. mai  er det en 50/50-sjanse for at du som lastet ned Handbrake fikk med en Trojaner.
Mellom 2. mai og 6. mai er det en 50/50-sjanse for at du som lastet ned Handbrake fikk med en Trojaner. (Bilde: Foto: Colourbox.)

Handbrake berørt av trojaner-virus – slik fjerner du det

Lastet du ned programmet for et par dager siden kan maskinen din være infisert.

En ny trojaner, kalt OSX.PROTON, har satt kjepper i hjulene for det populære programmet Handbrake, skriver søsternettstedet vårt Digi.no. For et par dager siden viste det seg at én av kildene du kunne laste ned programmet fra var kompromittert, og i stedet for å laste ned filkonverteringsprogrammet fikk Mac-brukere et ondsinnet virus installert på maskinene sine. 

OSX.PROTON åpner en sikkerhetsbakdør, stjeler informasjon og laster ned potensielt ondsinnde filer på den berørte maskinen.  

Den opprinnelige nedlastingsfila, HandBrake-1.0.7.dmg, ble ifølge Handbrakes uttalelse erstattet med en annen ukjent og ondsinnet fil. Denne ondartede filen har en nedlastingssignatur som er annerledes enn den opprinnelige filen. 

Det er så mye som 50/50-sjanse for at Trojaneren har sneket seg med i Handbrake-nedlastinger i tidsrommet 2. til 6. mai, skriver Handbrake selv i et foruminnlegg.

Handbrake har stengt den berørte lokale nedlastingssiden, download.handbrake.fr, for å etterforske hva som har gått galt. Denne siden vil bli bygget på nytt fra bunnen av, og nedlastinger av nyeste Handbrake-versjon fra denne siden vil derfor gå en del tregere enn vanlig.

Den primære nedlastingssiden og nettsiden til Handbrake ble ikke påvirket av trojaneren. 

Heller ikke nedlastinger som ble gjort gjennom den innebyggede oppdateringsfunksjonen i Handbrake 1.0 eller nyere versjoner ble berørt, ettersom programmet automatisk verifisere digitale signatur-algoritmer før de godkjennes for installering.

Har du Handbrake 0.10.5 eller tidligere bør du derimot sjekke om du har blitt infisert. Tidligere versjoner har nemlig ikke denne innebygde verifiseringen. Det samme bør du gjøre om du har lastet ned Hanbrake fra download.handbrake.fr mellom 2. og 6. mai.

Se etter "activity_agent" og sjekk filsignaturen

For å sjekke om du er berørt, må du gjøre følgende:

  • Åpne OSX Activy Monitor/Aktivitetsmonitor.
  • Se etter prosessen "activity_agent". Hvis du har denne kjørende, er maskinen infisert.

Om du også har installert Handbrake.dmg, må du attpåtil sjekke filsignaturen. For det første må du sjekke SHA1-filsignaturen. Dette gjør du slik:

  • Åpne Terminal og skriv openssl sha1 /komplett/filsti/. Om Handbrake.dmg for eksempel ligger i nedlastingsmappen din skriver du openssl sha1 ~/Nedlastinger/HandBrake.dmg
  • Da skal du få et resultat som ligner dette i form: SHA1(/Brukere/brukernavn/Nedlastinger/HandBrake.dmg) =07272d863ab77113e38e6ce3878c2162feb4893e
  • Sjekk resultatet ditt opp mot filsignaturen Handbrake oppgir for de infiserte filene: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274.
  • Hvis du har denne filsignaturen, er du infisert.
  • Du må også sjekke SHA256-filsignaturen.
    • Åpne Terminal og skriv følgende: 
      openssl dgst -sha256 /komplett/filsti, for eksempel openssl dgst -sha256 ~/Nedlastinger/HandBrake.dmg
    • Hvis denne kombinasjonen av tall og bokstaver er resultatet, er du infisert: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Slik fjerner du trojaner-viruset 

  • Åpne Terminal og kjør følgende kommandoer: 
    • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
    • rm -rf ~/Library/RenderFiles/activity_agent.app
    • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
  • Sørg også for å fjerne alle installeringer av "Handbrake.app" om du har noen av disse.

Etter at du har fjernet viruset, må du også huske på å gjøre følgende:

    • Endre passord både i OSX-keychain og alle passord som du har lagret i nettleseren din. 
    • Sjekk om OS-et ditt har en ny oppdatering av sikkerhetsprogrammet XProtect. Du kan sjekke når XProtect sist ble oppdatert ved å kjøre følgende kommando i Terminal: stat /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist.
    • For å forsikre deg om at du har XProtect:
      • Skriv følgende i Terminal: defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist Version. Du bør da få opp firesiret nummer som forteller deg hvilken versjon du har.
      • Hvis du ikke får opp noe versjonstall, eller feilmelding: Gå på App Store eller Programvareoppdateringer i Systemvalg. Huk av for boksen der det står "Install system data files and security updates (OS X 10.10 or later)" (eller tilsvarende på norsk), eller velg å laste ned oppdateringer automatisk. XProtect inkluderes da i slike oppdateringer. 
      Følg med på Handbrake-forumet for ytterligere oppdateringer i saken.

Norges beste mobilabonnement

Sommer 2018

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1 GB


Jeg bruker middels mye data:

Komplett MedioFlex+ 6GB


Jeg bruker mye data:

Chili Fri Data


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen