如果您最近在您Mac上下载了流行的开源视频代码转换器应用HandBrake,那您的计算机可能会感染知名的远程访问木马(RAT)。如果您下载的时间是在2017年5月2日至6日,你的Mac电脑有50%的几率感染Proton木马。
HandBrake官方发布安全通告 并暂时关闭受影响的服务器
HandBrake团队周六发布了安全通告,警告Mac用户说,黑客入侵了其中一个用于软件下载的镜像服务器。HandBrake团队表示,未知黑客或黑客组织入侵了用于下载的镜像服务器(download.handbrake.fr),并将HandBrake客户端的Mac版本(HandBrake-1.0.7.dmg)替换为感染了Proton新变种的恶意版本。
Proton最早是在2月在俄罗斯的一个地下黑色论坛发现的,Proton是一个基于Mac的远程访问木马,为攻击者提供受感染系统的Root访问权限。
出于调查目的,受影响的服务器已关闭。HandBrake团队警告说,若2017年5月2日至6日期间在Mac上下载HandBrake,这些Mac均有50%的几率感染Proton。
HandBrake是什么
如果您不了解,我们在这里提一下,HandBrake是一款开源视频代码转换器应用,可使Mac用户转换多媒体文件格式。可直接将 DVD 电影内转换成 AVI/MPEG4 格式,还有 MP4 及 OGM 输出、AAC 及 Vorbis 编码.HandBrake 能转换被加密的(encrypted)DVD,
如何确定是否已感染?
HandBrake团队为不太熟悉技术的用户提供了感染检查指南。打开OSX活动监视器应用,若存在名为Activity_agent的进程,说明已经感染了该木马。
此外,还可检查哈希值,确定所下载的软件是否为恶意软件或已被破坏。 感染该木马的应用具有以下哈希值:
- SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
- SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
若安装了具备以上校验和的HandBrake.dmg,说明您已感染了该木马。
如何删除Proton RAT?
HandBrake开发人员也为Mac受害用户提供了删除指南。若从Mac上删除Proton RAT,请按以下提示操作:
- 步骤1 打开“Terminal”应用,执行以下命令:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
- 步骤2 若~/Library/VideoFrameworks/中存在proton.zip,则删除该文件夹。
- 步骤3 卸载安装的所有Handbrake.app。
此外,还需采取额外措施,打开设置,更改OS X KeyChain中存储的所有密码或浏览器中保存的所有密码。
同时,Mac用户若已更新至HandBrake 1.0或更高版本则不受影响。因为这些用户已采用DSA签名验证下载的文件,这样感染恶意软件的版本无法通过DSA验证流程。
原文发布时间:2017年5月10日
本文由:HackerNews 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/proton-trojan-hacked-handbrake-server