• Es gibt nach dem Softwareupdate eine Reihe von Änderungen und Neuerungen in unserem Forum. Genaueres dazu findet Ihr in dieser Ankündigung. Hinweise, Kritik, Anregungen, Lob und Tadel bitte hier diskutieren.
Apfeltalk Weihnachtsbanner

Handbrake Download mit Trojaner verseucht

Jan Gruber

Podcaster und Redakteur
AT Administration
Mitglied seit
01.11.16
Beiträge
6.584



Die Software Handbrake ist sicherlich einigen Mac Nutzern ein Begriff. Es handelt sich dabei um einen Open Source Video Transcoder der Mediendateien in beliebige, auch Apple kompatible Formate, konvertieren kann. Jetzt veröffentlichte das Team hinter der Software eine Sicherheitswarnung für alle macOS-Nutzer.



Laut offiziellen Angaben wurde der Server kompromittiert und die aktuelle Version 1.0.7 gegen eine schädliche Version, die einen Trojaner innehält, ausgetauscht.
Anyone who has downloaded HandBrake on Mac between [02/May/2017 14:30 UTC] and [06/May/2017 11:00 UTC] needs to verify the SHA1 / 256 sum of the file before running it.​

Die Auswirkungen könnten verheerend sein, so soll der Trojaner alle Passwörter aus dem Schlüsselbund abgreifen können. Dementsprechend wird Betroffenen zur Änderung aller Passwörter geraten.


Based on the information we have, you must also change all the passwords that may reside in your OSX KeyChain or any browser password stores.​



Eigenes System prüfen


Die Prüfung, ob ihr selbst betroffen seit, geht vergleichsweise einfach. Ihr müsst dazu in der Aktivitätsanzeige von macOS nach einem Prozess namens Task "Activity_agent" suchen. Sofern ihr diese findet könnt ihr mit folgenden Terminalbefehlen den Trojaner entfernen:
  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Dennoch sollte auch nach diesen Befehlen Handbrake entfernt werden.

Quelle: Offizielles Forum
 
Zuletzt bearbeitet:

meru

Roter Seeapfel
Mitglied seit
30.09.06
Beiträge
2.115
War das nicht schonmal?

Egal, hab alles gescheckt und Handbrake nun endgültig runtergeworfen.

mfg Meru
 

Westfale

James Grieve
Mitglied seit
29.12.10
Beiträge
133
Ich hatte noch 1.0.3 auf dem Rechner, trotzdem mal alles gecheckt, danke für den Hinweis.
Kennt jemand eine gute Alternative zu Handbrake? Darf auch was kosten.
 

jazz

Pomme Etrangle
Mitglied seit
15.03.05
Beiträge
907
MacX Video Converter Pro, fügt Dateien im Gegensatz zu HB auch zusammen.
 

meru

Roter Seeapfel
Mitglied seit
30.09.06
Beiträge
2.115
Ja hab auch den "MacX Video Converter Pro", gibt immer wieder Sonderaktionen wo man den Günstiger bekommt.
Der kann auch Youtube Videos und anderes laden.
Es gibt auch [Beitrag editiert - Apfeltalk] oder als Bundel beides zusammen...wer es braucht.

mfg Meru
 
Zuletzt bearbeitet:

muffy

Kleiner Weinapfel
Mitglied seit
09.11.08
Beiträge
1.132
Sehr bedauerlich, dass es so einfach zu sein scheint den iCloud Schlüsselbund auszulesen.
Ist es denn wirklich so einfach möglich ohne, dass man wenigstens beim Start von Handbrake noch sein Admin-Kennwort eingeben muss? Ich zweifel irgendwie daran, dass ein Trojaner so einfach an sensible Infos kommt.
Das wäre doch eine massive Sicherheitslücke von Apple.

Wenn allerdings die Passwortabfrage beim Start des infizierten Handbrakes erscheint, dann wäre ich schon mal sehe skeptisch. Vor allem, wenn ich vorher kein Passwort eingeben musste. Die Frage, die sich jeder Handbrake-Nutzer sicherheitshalber stellen sollte ist, warum gerade ein Videoconverter Admin-Rechte benötigt.
 
  • Like
Wertungen: hotcheese

Papa_Baer

Schöner von Bath
Mitglied seit
06.01.15
Beiträge
3.629
Bei der Installation von Handbrakemuss man das Adminpasswort eingeben. Ist zumindest bei mir so.
 

Oliver Bergmann

Redakteur
AT Redaktion
Mitglied seit
14.11.10
Beiträge
1.517
Bei der Installation von Handbrakemuss man das Adminpasswort eingeben. Ist zumindest bei mir so.
Ja, das ist richtig. Aber so wie ich die Update-Politik von Handbrake in Erinnerung habe, wird bei einem Update auch ein kompletter Download vorgenommen, dessen Installation ebenfalls natürlich mit Admin-Passwort eingeleitet wird.

Ich meine mich erinnern zu können, dass ich am 3.Mai (letztes Öffnungsdatum von Handbrake lt. Info auf meinem Rechner) ein Update laden und installieren wollte, jedoch eine Fehlermeldung bekam. Umso mehr war ich eben bei dem Artikel erschrocken.

Aber in meiner Aktivitätsanzeige ist kein "Activity_agent" am laufen zum Glück. Dennoch werde ich Handbrake wohl nun vom Rechner schmeissen und ebenfalls auf meine vorhandenen anderen Video-Tools zurück greifen.

Zur Sicherheit lass ich aber dennoch mal wieder ClamXAV sowie Malware-Scanner über meinen Rechner laufen.
 

marcozingel

Mecklenburger Königsapfel
Mitglied seit
07.12.05
Beiträge
9.794
Eigenes System prüfen


Die Prüfung, ob ihr selbst betroffen seit, geht vergleichsweise einfach. Ihr müsst dazu in der Aktivitätsanzeige von macOS nach einem Prozess namens "Task Activity_agent" suchen. Sofern ihr diese findet könnt ihr mit folgenden Terminalbefehlen den Trojaner entfernen:
  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
  • if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Dennoch sollte auch nach diesen Befehlen Handbrake entfernt werden.

Quelle: Offizielles Forum
Nichts dergleichen gefunden...
Danke für den Vorsichtstip.
 

tomtom65

Tokyo Rose
Mitglied seit
17.04.09
Beiträge
66
Ich nutze dafür immer den KIGO Video Konverter. Es gibt eine frei Version deren Umfang mir reicht, es gibt aber auch eine PRO Version die etwas mehr kann.
 

Jan Gruber

Podcaster und Redakteur
AT Administration
Mitglied seit
01.11.16
Beiträge
6.584
Adapter tuts mMn auch ganz gut, nutze für einfache Aufgaben immer den. Ist kostenlos und macht seit Jahren keine Probleme bei mir.
 

u0679

Adersleber Calvill
Mitglied seit
09.11.12
Beiträge
5.809
Ich habe in der Thread Überschrift mal versucht gegen verseucht getauscht.
 

Jan Gruber

Podcaster und Redakteur
AT Administration
Mitglied seit
01.11.16
Beiträge
6.584
Ui ja danke. Im Magazin hatte ichs schon gemacht, hab aber aufs Forum "vergessen" quasi.
 

Hendrik Ruoff

Graue Französische Renette
Mitglied seit
16.03.13
Beiträge
12.258
Wenn man jetzt Handbrake schon länger hat ist das unerheblich es wurde ja nur die MirrorServer gehackt.... :rolleyes:
 

Westfale

James Grieve
Mitglied seit
29.12.10
Beiträge
133
Ja hab auch den "MacX Video Converter Pro", gibt immer wieder Sonderaktionen wo man den Günstiger bekommt.
Der kann auch Youtube Videos und anderes laden.
Es gibt auch den Mac DVD Riper oder als Nudel beides zusammen...wer es braucht.

mfg Meru
Zur Zeit gibt es eine Aktion, 13 Euro gespart! Danke^^
 

Jan Gruber

Podcaster und Redakteur
AT Administration
Mitglied seit
01.11.16
Beiträge
6.584
Zu etwaigen "weltlichen Festen" gibts den auch immer wieder mal Gratis, zuletzt zu Weihnachten soweit ich weiß - da hab ich mir den auch endlich geholt ^^
 

Oliver Bergmann

Redakteur
AT Redaktion
Mitglied seit
14.11.10
Beiträge
1.517
Wenn man jetzt Handbrake schon länger hat ist das unerheblich es wurde ja nur die MirrorServer gehackt.... :rolleyes:
Sicher? Ich bin der Meinung auch ein Update lädt direkt vom betroffenen Server. Es sei denn, man war bereits in Besitz der aktuellen Version und der Austausch erfolgte dann auf den Servern.
 

Hendrik Ruoff

Graue Französische Renette
Mitglied seit
16.03.13
Beiträge
12.258
Ich sagte ja wenn man handbrake schon länger hat :D die version gibts ja schon länge wie zwischen dem Zeitraum 2-6 Mai
 
  • Like
Wertungen: Oliver Bergmann

Oliver Bergmann

Redakteur
AT Redaktion
Mitglied seit
14.11.10
Beiträge
1.517
Ja, ich hänge da zwischen "Gehabt und alte Version" und "gehabt und aktuelle Version". Ich hätte den Trojaner ja in einer mutmaßlich aktuelleren Version versteckt, dass schön alle updaten wollen - und darauf zielte ich dann, dass eben wohl auch bei einem schnöden Update eine volle Version gezogen wird.

Ich hoffe jedenfalls, dass hier keiner betroffen ist. Eine komplette PW-Säuberung kann schon zum Teil Tage dauern...
 

djtwok

Stina Lohmann
Mitglied seit
28.10.14
Beiträge
1.034
Ich habe heute geupdatet, Fehlermeldung. Dann direkt noch mal down geloadet und installiert (ohne frage nach Admin Passwort). Ich werde abends mal nach den Trojaner Spuren suchen aber eigentlich sollte der Download sicher sein ab heute oder ? Im Fall der Fälle genügt es das Time machine Backup von gestern einzuspielen ?