HandBrake erinnert uns daran, dass auch Mac nicht vor Malware gefeit ist

Die Mac-Version des populären Videoencoders HandBrake wurde gehackt. macOS-Nutzer sollten prüfen, ob ihr Gerät vom Schädling befallen ist. Die Chance steht 50:50.

von Simon Gröflin 09.05.2017

Die Entwickler des bekannten OpenSource-Videoencoders HandBrake warnen Mac-Anwender vor einer möglichen Malware-Infektion. Demnach hatten Nutzer zwischen dem 2. und dem 6. Mai eine 50:50-Chance, sich den verseuchten macOS-Download über eine Mirror-Seite eingefangen zu haben. Die Software wurde über einen der Server von Malware-Schreibern mit einer Variante von OSX.Proton beladen. Dabei handelt es sich um ein sogenanntes RAT-Tool (Remote Access Trojan), das auch bei Tastatureingaben (Keylogging) mithört, Screenshots einfangen oder gar Dateien klauen und Systembefehle ausführen kann.

Um sich Administratorrechte zu verschaffen, ist Proton auch in der Lage, Passwörter aus dem Schlüsselbund zu erschnüffeln. Die alleinige Beseitigung des Schädlings reicht daher nicht aus. Die Entwickler raten bei Befall, auch gleich alle dort hinterlegten Passwörter zu ändern, sofern Proton nicht bereits die Herrschaft über das Administratorpasswort erlangt hat. Wenn das tatsächlich passiert ist und Sie sich nicht mehr anmelden können, müssten Sie wohl beim Hochfahren des Macs (über eine Recovery-Methode mittels Gedrückthalten von CMD+R) das Passwort über ein Terminal-Fenster zurücksetzen. Weitere Hilfestellungen dazu liefert Apple.

So prüfen Sie, ob Sie mit Proton infiziert sind

Läuft unter macOS bei Ihnen in der Aktivitätenanzeige ein Prozess namens Activity_agent, ist das den Entwicklern zufolge bereits ein ziemlich klares Indiz dafür, dass Sie mit Proton infiziert sind. Um in die Mac-Prozessansicht zu gelangen, öffnen Sie im Finder unter Programme den Bereich Dienstprogramme. Darin findet sich die sogenannte Aktivitätenanzeige. Wenn Sie sich nicht sicher sind, tippen Sie einfach oben ins Suchfeld activity ein, um den Prozess ausfindig zu machen.

Checksummen prüfen

Noch mehr Gewissheit verschaffen die SHA-Prüfsummen des infizierten Download-Pakets, die den Entwicklern bekannt sind. Öffnen Sie dazu (ebenfalls unter den Dienstprogrammen) das Terminal-Fenster und führen Sie nachfolgend, jeweils mittels Bestätigung über die Eingabetaste, folgende Befehlszeilen aus:

cd ~/Downloads

shasum -a 1 HandBrake-* && shasum -a 256 HandBrake-*

HandBrake schreibt auf Github: Falls auch nur einer der angezeigten Hash-Werte nicht mit den dort gelisteten SHA1- und SHA256-Checksummen übereinstimmt, kann man davon ausgehen, dass das Programm entweder fehlerhaft oder – eben – mit Malware verseucht ist. Sie sollten daraufhin jegliche Dateien, die nicht den gelisteten Ziffern entsprechen, löschen, diese von der offiziellen Seite (https://handbrake.fr/downloads.php) herunterladen und erneut verifizieren.

Proton vernichten

Für das eigentliche Entfernen reicht es womöglich nicht, das Malware-Programm von der Festplatte zu löschen. Dazu hat das HandBrake-Team ebenfalls eine Entfernungsanleitung veröffentlicht, wozu man noch einmal das Terminal-Fenster braucht. Die folgenden Befehle sollte man in diesem Fall (wieder jeweils durch Bestätigung der Eingabetaste) nacheinander ausführen, um den fiesen Schädling ein für alle Mal in der Mülltonne zu versenken:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist

rm -rf ~/Library/RenderFiles/activity_agent.app

Sollte auf der Festplatte noch der Ordner ~/Library/VideoFrameworks/ vorhanden sein und dieser die Datei proton.zip enthalten, sollten diese Restbestände ebenfalls entfernt werden.

Die verseuchten Downloads von einem Server namens download.handbrake.fr sind mittlerweile offline genommen worden. Die Downloads bzw. Updates über den App Store seien jedoch nicht betroffen, wie das HandBrake-Team versichert. Apple ist über das Problem informiert.