VĂ­rusos videĂłkonvertert terjesztettek Mac-ekre

A leginkább ismert Mac-es videókonverter programok egyikét, a Handbrake-et hackerek használták ki, hogy általa juttassák el trójai vírusukat a gyanútlan letöltők gépeire. A fejlesztők későn vették észre a támadást és időközben többekhez is eljuthatott a kártékony program.

Hackerek tĂĄmadĂĄsa

A hackerek ügyeskedésükkel elérték, hogy az egyébként nyílt forráskódú Handbrake szerverét feltörve, oda a saját kódjukat tegyék fel. Így aztán bárki aki le akarta szedni magának a videókonvertert, a már vírussal megfertőzött verziót kapta meg.

Azóta természetesen a fejlesztők eltávolították a kérdéses verziót, de felszólításukban mindenkit figyelmeztetnek, hogy akik május 2. és 6. között telepítette a szoftvert, az jó eséllyel a trójai vírust is megkapta.

TrĂłjai vĂ­rus eltĂĄvolĂ­tĂĄsa

A fejlesztők hibázásuk észrevétele után egy meglehetősen részletes és jó eltávolítási módszert közöltek, amellyel a fertőzött gépeket tisztíthatják meg az áldozatok.

Első lépés a felismerés, hogy vajon tényleg vírustámadás áldozatai lettünk-e. Az OSX.PROTON trójai vírus fertőzés esetén csatornát nyit a hackereknek a gépre. Ezzel gyakorlatilag teljesen átadja a gép feletti irányítást, így innentől kezdve már csak a bűnözők fantáziáján múlik, mihez kezdenek a lehetőséggel.

Hogy vĂ­rust tĂśltĂśttĂźnk-e le egy SHA checksummal megĂĄllapĂ­thatĂł. Ha az ĂŠrtĂŠk az alĂĄbbiak egyike, akkor sajnos sikerĂźlt elkapni a vĂ­rust:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

SzerencsĂŠre az eltĂĄvolĂ­tĂĄsra is van mĂłd, a TerminĂĄlba beadva az alĂĄbbi parancsokat mĂĄris megszabadulhatunk a trĂłjaitĂłl:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
- ha a ~/Library/VideoFrameworks/ tartalmazza a proton.zip fĂĄjlt, tĂĄvolĂ­tsuk el a mappĂĄt

Ha ez kĂŠsz, a Handbrake programot is tĂśrĂślni kell, hogy Ă­rmagja se maradjon.