Handbrake berørt av trojaner-virus – slik fjerner du det
Lastet du ned programmet for et par dager siden kan maskinen din være infisert.
En ny trojaner, kalt OSX.PROTON, har satt kjepper i hjulene for det populære programmet Handbrake, skriver søsternettstedet vårt Digi.no. For et par dager siden viste det seg at én av kildene du kunne laste ned programmet fra var kompromittert, og i stedet for å laste ned filkonverteringsprogrammet fikk Mac-brukere et ondsinnet virus installert på maskinene sine.
OSX.PROTON åpner en sikkerhetsbakdør, stjeler informasjon og laster ned potensielt ondsinnde filer på den berørte maskinen.
Den opprinnelige nedlastingsfila, HandBrake-1.0.7.dmg, ble ifølge Handbrakes uttalelse erstattet med en annen ukjent og ondsinnet fil. Denne ondartede filen har en nedlastingssignatur som er annerledes enn den opprinnelige filen.
Det er så mye som 50/50-sjanse for at Trojaneren har sneket seg med i Handbrake-nedlastinger i tidsrommet 2. til 6. mai, skriver Handbrake selv i et foruminnlegg.
Handbrake har stengt den berørte lokale nedlastingssiden, download.handbrake.fr, for å etterforske hva som har gått galt. Denne siden vil bli bygget på nytt fra bunnen av, og nedlastinger av nyeste Handbrake-versjon fra denne siden vil derfor gå en del tregere enn vanlig.
Den primære nedlastingssiden og nettsiden til Handbrake ble ikke påvirket av trojaneren.
Heller ikke nedlastinger som ble gjort gjennom den innebyggede oppdateringsfunksjonen i Handbrake 1.0 eller nyere versjoner ble berørt, ettersom programmet automatisk verifisere digitale signatur-algoritmer før de godkjennes for installering.
Har du Handbrake 0.10.5 eller tidligere bør du derimot sjekke om du har blitt infisert. Tidligere versjoner har nemlig ikke denne innebygde verifiseringen. Det samme bør du gjøre om du har lastet ned Hanbrake fra download.handbrake.fr mellom 2. og 6. mai.
Se etter "activity_agent" og sjekk filsignaturen
For å sjekke om du er berørt, må du gjøre følgende:
- Åpne OSX Activy Monitor/Aktivitetsmonitor.
- Se etter prosessen "activity_agent". Hvis du har denne kjørende, er maskinen infisert.
Om du også har installert Handbrake.dmg, må du attpåtil sjekke filsignaturen. For det første må du sjekke SHA1-filsignaturen. Dette gjør du slik:
- Åpne Terminal og skriv openssl sha1 /komplett/filsti/. Om Handbrake.dmg for eksempel ligger i nedlastingsmappen din skriver du openssl sha1 ~/Nedlastinger/HandBrake.dmg
- Da skal du få et resultat som ligner dette i form: SHA1(/Brukere/brukernavn/Nedlastinger/HandBrake.dmg) =07272d863ab77113e38e6ce3878c2162feb4893e
- Sjekk resultatet ditt opp mot filsignaturen Handbrake oppgir for de infiserte filene: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274.
- Hvis du har denne filsignaturen, er du infisert.
- Du må også sjekke SHA256-filsignaturen.
- Åpne Terminal og skriv følgende: openssl dgst -sha256 /komplett/filsti, for eksempel openssl dgst -sha256 ~/Nedlastinger/HandBrake.dmg Hvis denne kombinasjonen av tall og bokstaver er resultatet, er du infisert: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Slik fjerner du trojaner-viruset
- Åpne Terminal og kjør følgende kommandoer:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist rm -rf ~/Library/RenderFiles/activity_agent.app if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
- Sørg også for å fjerne alle installeringer av "Handbrake.app" om du har noen av disse.
Etter at du har fjernet viruset, må du også huske på å gjøre følgende:
- Endre passord både i OSX-keychain og alle passord som du har lagret i nettleseren din. Sjekk om OS-et ditt har en ny oppdatering av sikkerhetsprogrammet XProtect. Du kan sjekke når XProtect sist ble oppdatert ved å kjøre følgende kommando i Terminal: stat /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist. For å forsikre deg om at du har XProtect:Følg med på Handbrake-forumet for ytterligere oppdateringer i saken.
