Wer glaubt, dass sein Mac völlig immun gegen Viren und Trojaner aller Art ist, dem sei gesagt, dies ist nicht so. Ein Beispiel hierfür hat sich kürzlich ereignet, als bei einem der Download Mirrors des populären Open Source Video Transcoders Handbrake, der eigentliche Download durch ein Paket mit einem Trojaner ersetzt wurde. Was ihr dazu wissen müsst und ob ihr womöglich betroffen seid, erklärt dieser Artikel.

Was ist passiert?

Bei einem der Download Mirror, download.handbrake.fr um genau zu sein, wurde der HandBrake Download durch eine Version mit einem Trojaner ausgetauscht, wie der Entwickler im HandBrake Forum berichtet. Aufgefallen ist es durch die unterschiedlichen Prüfsummen (checksums) der download.handbrake.fr Version und der GitHub Version. Der Download Mirror wurde bis auf weiteres offline genommen, es besteht also keine weitere Gefahr.

Bin ich betroffen?

Hat man im Zeitraum zwischen dem 2. Mai 2017 14:30 UTC und dem 6. Mai 2017 11:00 UTC eine Version von HandBrake von besagtem Download Mirror heruntergeladen, ist man wahrscheinlich betroffen. Downloads von anderen Websites sollten keine unerwünschte Software mit sich gebracht haben, prüfen schadet allerdings nie.

Um festzustellen ob man betroffen ist, gibt es zwei Möglichkeiten:

  1. Man sucht in der Aktivitätsanzeige nach einem Prozess namens „activity_agent“.
    Dazu drückt man gleichzeitig Cmd + Leertaste, gibt anschließend Aktivitätsanzeige ein und bestätigt mit Enter. Ist der Prozess vorhanden, ist man infiziert.
  2. Man überprüft die Checksums seines Downloads, wie folgt:
    1. Cmd + Leertaste -> Terminal eingeben -> mit Enter bestätigen.
    2. Den Finder öffnen und zum Handbrake Download navigieren (.dmg)
    3. Zurück zum Terminal wechseln und dann „shasum “ eingeben (Ohne Anführungszeichen)
    4. Zurück zum Finder wechseln und die .dmg Datei in das Terminalfenster ziehen.
    5. Der Command sollte nun in etwa so aussehen:

      <Computername>:~ <Username>$ shasum /Users/<Username>/Downloads/HandBrake-1.0.7.dmg

    6. Mit Enter bestätigen.
    7. Dasselbe wiederholt man, aber man fügt nach shasum noch „-a 256“ ein
      In etwa so:

      <Computername>:~ <Username>$ shasum –a 256 /Users/<Username>/Downloads/HandBrake-1.0.7.dmg

      Erhält man folgende Ergebnisse, ist man ebenfalls infiziert.

      SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
      SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

Wie werde ich den Trojaner wieder los?

Dazu öffnet man erneut den Terminal und führt folgende drei Commands aus:

  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Anschließend befördert man die „HandBrake.app“ Datei, also das eigentliche Programm, per Rechtsklick in den Papierkorb. (Papierkorb anschließend leeren.)

Und jetzt?

Es ist gut möglich, dass der Trojaner, namentlich OSX.PROTON, schon alle möglichen persönlichen Passwörter kopiert und weggeschickt hat, weshalb es dringend empfohlen wird alle Passwörter, welche im Mac Schlüsselbund oder im Browser gespeichert waren, zu ändern.

Wart ihr von dem Trojaner betroffen?

Artikelbild: Entwickler