Handbrake Download mit Trojaner verseucht

Dieses Thema im Forum "Magazin" wurde erstellt von Jan Gruber, 07.05.17.

  1. Jan Gruber

    Jan Gruber Podcaster und Redakteur
    AT Administration

    Dabei seit:
    01.11.16
    Beiträge:
    6.064
    [​IMG]


    Die Software Handbrake ist sicherlich einigen Mac Nutzern ein Begriff. Es handelt sich dabei um einen Open Source Video Transcoder der Mediendateien in beliebige, auch Apple kompatible Formate, konvertieren kann. Jetzt veröffentlichte das Team hinter der Software eine Sicherheitswarnung für alle macOS-Nutzer.



    Laut offiziellen Angaben wurde der Server kompromittiert und die aktuelle Version 1.0.7 gegen eine schädliche Version, die einen Trojaner innehält, ausgetauscht.
    Anyone who has downloaded HandBrake on Mac between [02/May/2017 14:30 UTC] and [06/May/2017 11:00 UTC] needs to verify the SHA1 / 256 sum of the file before running it.​

    Die Auswirkungen könnten verheerend sein, so soll der Trojaner alle Passwörter aus dem Schlüsselbund abgreifen können. Dementsprechend wird Betroffenen zur Änderung aller Passwörter geraten.


    Based on the information we have, you must also change all the passwords that may reside in your OSX KeyChain or any browser password stores.​



    Eigenes System prüfen


    Die Prüfung, ob ihr selbst betroffen seit, geht vergleichsweise einfach. Ihr müsst dazu in der Aktivitätsanzeige von macOS nach einem Prozess namens Task "Activity_agent" suchen. Sofern ihr diese findet könnt ihr mit folgenden Terminalbefehlen den Trojaner entfernen:
    • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
    • rm -rf ~/Library/RenderFiles/activity_agent.app
    • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

    Dennoch sollte auch nach diesen Befehlen Handbrake entfernt werden.

    Quelle: Offizielles Forum
     
    #1 Jan Gruber, 07.05.17
    Zuletzt bearbeitet: 07.05.17
    doc_holleday, i_On und jazz gefällt das.
  2. meru

    meru Roter Seeapfel

    Dabei seit:
    30.09.06
    Beiträge:
    2.104
    War das nicht schonmal?

    Egal, hab alles gescheckt und Handbrake nun endgültig runtergeworfen.

    mfg Meru
     
  3. Westfale

    Westfale Fießers Erstling

    Dabei seit:
    29.12.10
    Beiträge:
    129
    Ich hatte noch 1.0.3 auf dem Rechner, trotzdem mal alles gecheckt, danke für den Hinweis.
    Kennt jemand eine gute Alternative zu Handbrake? Darf auch was kosten.
     
  4. jazz

    jazz Weißer Winterglockenapfel

    Dabei seit:
    15.03.05
    Beiträge:
    894
    MacX Video Converter Pro, fügt Dateien im Gegensatz zu HB auch zusammen.
     
  5. meru

    meru Roter Seeapfel

    Dabei seit:
    30.09.06
    Beiträge:
    2.104
    Ja hab auch den "MacX Video Converter Pro", gibt immer wieder Sonderaktionen wo man den Günstiger bekommt.
    Der kann auch Youtube Videos und anderes laden.
    Es gibt auch [Beitrag editiert - Apfeltalk] oder als Bundel beides zusammen...wer es braucht.

    mfg Meru
     
    #5 meru, 07.05.17
    Zuletzt bearbeitet: 07.05.17
  6. muffy

    muffy Kleiner Weinapfel

    Dabei seit:
    09.11.08
    Beiträge:
    1.132
    Sehr bedauerlich, dass es so einfach zu sein scheint den iCloud Schlüsselbund auszulesen.
    Ist es denn wirklich so einfach möglich ohne, dass man wenigstens beim Start von Handbrake noch sein Admin-Kennwort eingeben muss? Ich zweifel irgendwie daran, dass ein Trojaner so einfach an sensible Infos kommt.
    Das wäre doch eine massive Sicherheitslücke von Apple.

    Wenn allerdings die Passwortabfrage beim Start des infizierten Handbrakes erscheint, dann wäre ich schon mal sehe skeptisch. Vor allem, wenn ich vorher kein Passwort eingeben musste. Die Frage, die sich jeder Handbrake-Nutzer sicherheitshalber stellen sollte ist, warum gerade ein Videoconverter Admin-Rechte benötigt.
     
    hotcheese gefällt das.
  7. Papa_Baer

    Papa_Baer Schmalzprinz

    Dabei seit:
    06.01.15
    Beiträge:
    3.564
    Bei der Installation von Handbrakemuss man das Adminpasswort eingeben. Ist zumindest bei mir so.
     
  8. Oliver Bergmann

    Oliver Bergmann Redakteur
    AT Redaktion

    Dabei seit:
    14.11.10
    Beiträge:
    1.512
    Ja, das ist richtig. Aber so wie ich die Update-Politik von Handbrake in Erinnerung habe, wird bei einem Update auch ein kompletter Download vorgenommen, dessen Installation ebenfalls natürlich mit Admin-Passwort eingeleitet wird.

    Ich meine mich erinnern zu können, dass ich am 3.Mai (letztes Öffnungsdatum von Handbrake lt. Info auf meinem Rechner) ein Update laden und installieren wollte, jedoch eine Fehlermeldung bekam. Umso mehr war ich eben bei dem Artikel erschrocken.

    Aber in meiner Aktivitätsanzeige ist kein "Activity_agent" am laufen zum Glück. Dennoch werde ich Handbrake wohl nun vom Rechner schmeissen und ebenfalls auf meine vorhandenen anderen Video-Tools zurück greifen.

    Zur Sicherheit lass ich aber dennoch mal wieder ClamXAV sowie Malware-Scanner über meinen Rechner laufen.
     
    HaukeG5 und Papa_Baer gefällt das.
  9. marcozingel

    marcozingel Roter Trierer Weinapfel

    Dabei seit:
    07.12.05
    Beiträge:
    9.650
    Nichts dergleichen gefunden...
    Danke für den Vorsichtstip.
     
  10. tomtom65

    tomtom65 Tokyo Rose

    Dabei seit:
    17.04.09
    Beiträge:
    66
    Ich nutze dafür immer den KIGO Video Konverter. Es gibt eine frei Version deren Umfang mir reicht, es gibt aber auch eine PRO Version die etwas mehr kann.
     
  11. Jan Gruber

    Jan Gruber Podcaster und Redakteur
    AT Administration

    Dabei seit:
    01.11.16
    Beiträge:
    6.064
    Adapter tuts mMn auch ganz gut, nutze für einfache Aufgaben immer den. Ist kostenlos und macht seit Jahren keine Probleme bei mir.
     
  12. u0679

    u0679 Moderator
    AT Moderation

    Dabei seit:
    09.11.12
    Beiträge:
    5.786
    Ich habe in der Thread Überschrift mal versucht gegen verseucht getauscht.
     
  13. Jan Gruber

    Jan Gruber Podcaster und Redakteur
    AT Administration

    Dabei seit:
    01.11.16
    Beiträge:
    6.064
    Ui ja danke. Im Magazin hatte ichs schon gemacht, hab aber aufs Forum "vergessen" quasi.
     
  14. Hendrik Ruoff

    Hendrik Ruoff Graue Französische Renette

    Dabei seit:
    16.03.13
    Beiträge:
    12.238
    Wenn man jetzt Handbrake schon länger hat ist das unerheblich es wurde ja nur die MirrorServer gehackt.... :rolleyes:
     
  15. Westfale

    Westfale Fießers Erstling

    Dabei seit:
    29.12.10
    Beiträge:
    129
    Zur Zeit gibt es eine Aktion, 13 Euro gespart! Danke^^
     
  16. Jan Gruber

    Jan Gruber Podcaster und Redakteur
    AT Administration

    Dabei seit:
    01.11.16
    Beiträge:
    6.064
    Zu etwaigen "weltlichen Festen" gibts den auch immer wieder mal Gratis, zuletzt zu Weihnachten soweit ich weiß - da hab ich mir den auch endlich geholt ^^
     
  17. Oliver Bergmann

    Oliver Bergmann Redakteur
    AT Redaktion

    Dabei seit:
    14.11.10
    Beiträge:
    1.512
    Sicher? Ich bin der Meinung auch ein Update lädt direkt vom betroffenen Server. Es sei denn, man war bereits in Besitz der aktuellen Version und der Austausch erfolgte dann auf den Servern.
     
  18. Hendrik Ruoff

    Hendrik Ruoff Graue Französische Renette

    Dabei seit:
    16.03.13
    Beiträge:
    12.238
    Ich sagte ja wenn man handbrake schon länger hat :D die version gibts ja schon länge wie zwischen dem Zeitraum 2-6 Mai
     
    Oliver Bergmann gefällt das.
  19. Oliver Bergmann

    Oliver Bergmann Redakteur
    AT Redaktion

    Dabei seit:
    14.11.10
    Beiträge:
    1.512
    Ja, ich hänge da zwischen "Gehabt und alte Version" und "gehabt und aktuelle Version". Ich hätte den Trojaner ja in einer mutmaßlich aktuelleren Version versteckt, dass schön alle updaten wollen - und darauf zielte ich dann, dass eben wohl auch bei einem schnöden Update eine volle Version gezogen wird.

    Ich hoffe jedenfalls, dass hier keiner betroffen ist. Eine komplette PW-Säuberung kann schon zum Teil Tage dauern...
     
  20. djtwok

    djtwok Stina Lohmann

    Dabei seit:
    28.10.14
    Beiträge:
    1.024
    Ich habe heute geupdatet, Fehlermeldung. Dann direkt noch mal down geloadet und installiert (ohne frage nach Admin Passwort). Ich werde abends mal nach den Trojaner Spuren suchen aber eigentlich sollte der Download sicher sein ab heute oder ? Im Fall der Fälle genügt es das Time machine Backup von gestern einzuspielen ?