Tem sido uma época difícil para a segurança Mac. Primeiro, o Checkpoint alertou os usuários para um cavalo de Troia se espalhando na Europa que era o primeiro do tipo. E, agora, um dos mais famosos aplicativos de transcodificação de vídeo para o Mac apareceu com um problema de malware.

• Um pequeno guia para descobrir se aplicativos gratuitos têm más intenções
• Como identificar um link em que você não deveria clicar



Os desenvolvedores do programa de transcodificação Handbrake soltaram um comunicado que avisa que um dos sites para baixar seu software foi comprometido por hackers. A postagem explica que qualquer um que baixou o programa entre 2 de 6 de maio desse ano tem uma chance de 50% de ter sido infectado. Mas provavelmente é uma boa ideia ter certeza de que está tudo ok se você baixou o programa recentemente.

De acordo com o alerta deste sábado, o arquivo de instalação do servidor espelho download.handbrake.fr (HandBrake-1.0.7.dmg) foi substituído por um arquivo malicioso. O malware é uma variação do OSX.PROTON e dá ao hacker privilégios de acesso raíz ao sistema. Em fevereiro, a Apple teve que fazer uma atualização do XProtect para lidar com o Proton original e, no sábado, a companhia começou o processo de atualização para sua última variação. Ele deve ser baixado automaticamente para a maioria dos usuários.

Eis como detectá-lo e removê-lo:

Detecção

• Se você vir um processo chamado “Activity_agent” no monitor de atividades do OSX, você foi infectado.
• Para referência, se você instalou o HandBrake.dmg com as seguintes somas de verificação. você também foi infectado:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
• O cavalo de Troia em questão é uma nova variação do OSX.PROTON

Remoção

• Abra a aplicação “Terminal” e rode os seguintes comandos:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.appif

~/Library/VideoFrameworks/ contém o proton.zip, remova a pasta
• Então remova quaisquer instalações do “HandBrake.app” que você possa ter.

Só por precaução, os usuários devem alterar suas senhas guardadas em qualquer OSX ou navegadores. Embora qualquer site espelho primário e as versões atualizadas automaticamente 1.0 e seguintes não tenham sido afetadas, qualquer um que usa o Handbrake deve se assegurar.

[Handbrake via MacRumors]

Imagem do topo: Apple