如果您从2017年5月2日至5月6日从官方网站下载了流行的用于OS X的HandBrake转码器程序,那么很有可能附带50%的Proton RAT-一种用于远程计算机控制的程序。 入侵HandBrake服务器后,不知名的人通过在其中放置“老鼠”来替换官方分发工具包,因为有时会用术语来称呼RAT程序。
download.handbrake.fr镜像上的HandBrake-1.0.7.dmg文件被另一个文件替换,该文件的哈希值与
https://github.com/HandBrake/HandBrake/wiki/Checksums上列出的校验和不匹配。
HandBrake是免费的免费软件,用于对数字视频文件进行代码转换,该软件最初于2003年开发,旨在促进翻录DVD,即将电影从DVD复制到HDD。 从那时起,该程序进行了许多更改,现在主要用于对现成的文件进行代码转换。 例如,从torrent下载最高质量版本后,您需要以可接受的分辨率和大小为iPhone或Android设备制作一个副本。 在转码过程中,HandBrake允许您设置所需的比特率,最大文件大小或以“恒定质量”更改比特率。 该程序支持许多特定功能,包括去隔行,图像缩放,裁剪,去除伪像“梳”(分解)和后期制作的其他效果。 通过GUI或控制台中的文本界面编译工作列表,可以以批处理模式处理文件。 HandBrake支持视频和音频的许多输入和输出格式。
有适用于Linux,macOS和Windows的HandBrake版本,但在这种情况下,黑客仅替换了macOS的版本。
2017年5月6日上午,
在HandBrake论坛上
发布了有关打破引导脱机镜像的消息。 它指出,在5月2日,14:30 UTC和5月6日11:00 UTC之间下载Mac的官方HandBrake客户端的每个人,必须在启动文件之前检查SHA1或SHA256哈希。
如果没有时间检查文件并且已经启动了程序,则需要检查计算机是否存在木马。 如果在指定时间段内下载程序,则它以50/50的概率出现在系统中。 开发人员强调,固件更新1.0或更高版本无法安装该木马。 从1.0版开始,它将检查数字签名,如果签名不匹配,则不安装更新。 但是更新程序的早期版本不验证签名,因此它们可以安装带有内置RAT的文件。
您可以通过OSX活动监视器应用程序中存在
Activity_agent进程来识别计算机上的木马。
如果仍然有下载的HandBrake.dmg文件,则可以检查受感染文件的哈希值:
SHA1:0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256:013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
如果您有这样的哈希,则文件被感染。
据报道,转码器随附了一个名为OSX.PROTON的RAT新版本。 该程序于
2017年2月在俄罗斯地下论坛上首次
露面 。
要删除该程序,请打开终端并执行以下命令:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.app- 如果
~/Library/VideoFrameworks/目录包含proton.zip,则删除文件夹
然后卸载所有可用的HandBrake.app安装。
进一步行动由于此RAT(可能是俄罗斯设计的)完全控制了受害人的计算机,因此,计算机及其上的所有信息都应视为受到威胁。 因此,您需要替换存储在操作系统和浏览器中的所有密码,以及最近手动输入的密码。
现在在公共领域中,有便捷的工具可让您一次扫描所有防病毒软件(例如VirusTotal)中的任何文件。 攻击者通常在混淆后扫描恶意软件文件-混淆文件的成功程度。 如果防病毒软件未检测到该程序,则可以将其分发。 这就是内置防病毒macOS XProtect无法检测到木马的原因。 苹果现在正在更新签名数据库。 也许是昨天或今天,此更新应该已经覆盖了用户。
请记住,使用像VirusTotal这样的服务,签名更新将始终在新恶意软件分发并安装在用户计算机上之后进行。 如果防病毒软件检测到该恶意软件,则不会传播该恶意软件。 因此,在许多方面,计算机上防病毒的含义已经丢失,特别是因为防病毒本身是系统中的
另一个安全漏洞 。
download.handbrake.fr镜像当前已关闭以进行调查。 同时,主要的官方镜像会继续工作,因此您可以下载代码转换器程序的正式版本。 的确,由于服务器负载增加,下载速度降低了。 但是程序HandBrake现在很可能没有特洛伊木马程序。
似曾相识有趣的是,HandBrake程序的主要开发人员也是Transmission torrent客户端的作者。 不敢相信,但是在2016年3月,未知的黑客入侵了官方的传输服务器,并
用KeRanger恶意软件替换了原始文件 。 几个月后,同一镜子再次遭到黑客攻击,这次
将OSX / Keydnap恶意软件引入了官方客户端 。