Mac又遇木马 Proton木马入侵视频格式转换HandBrake服务器 攻击者可以获得苹果电脑Root权限-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

Mac又遇木马 Proton木马入侵视频格式转换HandBrake服务器 攻击者可以获得苹果电脑Root权限

简介:

如果您最近在您Mac上下载了流行的开源视频代码转换器应用HandBrake,那您的计算机可能会感染知名的远程访问木马(RAT)。如果您下载的时间是在2017年5月2日至6日,你的Mac电脑有50%的几率感染Proton木马。

HandBrake官方发布安全通告 并暂时关闭受影响的服务器

HandBrake团队周六发布了安全通告,警告Mac用户说,黑客入侵了其中一个用于软件下载的镜像服务器。HandBrake团队表示,未知黑客或黑客组织入侵了用于下载的镜像服务器(download.handbrake.fr),并将HandBrake客户端的Mac版本(HandBrake-1.0.7.dmg)替换为感染了Proton新变种的恶意版本。

Proton最早是在2月在俄罗斯的一个地下黑色论坛发现的,Proton是一个基于Mac的远程访问木马,为攻击者提供受感染系统的Root访问权限。

出于调查目的,受影响的服务器已关闭。HandBrake团队警告说,若2017年5月2日至6日期间在Mac上下载HandBrake,这些Mac均有50%的几率感染Proton。

HandBrake是什么

如果您不了解,我们在这里提一下,HandBrake是一款开源视频代码转换器应用,可使Mac用户转换多媒体文件格式。可直接将 DVD 电影内转换成 AVI/MPEG4 格式,还有 MP4 及 OGM 输出、AAC 及 Vorbis 编码.HandBrake 能转换被加密的(encrypted)DVD,

如何确定是否已感染?

HandBrake团队为不太熟悉技术的用户提供了感染检查指南。打开OSX活动监视器应用,若存在名为Activity_agent的进程,说明已经感染了该木马。

此外,还可检查哈希值,确定所下载的软件是否为恶意软件或已被破坏。 感染该木马的应用具有以下哈希值:

  • SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
  • SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

若安装了具备以上校验和的HandBrake.dmg,说明您已感染了该木马。

如何删除Proton RAT?

HandBrake开发人员也为Mac受害用户提供了删除指南。若从Mac上删除Proton RAT,请按以下提示操作:

  • 步骤1 打开“Terminal”应用,执行以下命令:

    • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
    • rm -rf ~/Library/RenderFiles/activity_agent.app
  • 步骤2 若~/Library/VideoFrameworks/中存在proton.zip,则删除该文件夹。
  • 步骤3 卸载安装的所有Handbrake.app。

此外,还需采取额外措施,打开设置,更改OS X KeyChain中存储的所有密码或浏览器中保存的所有密码。

同时,Mac用户若已更新至HandBrake 1.0或更高版本则不受影响。因为这些用户已采用DSA签名验证下载的文件,这样感染恶意软件的版本无法通过DSA验证流程。



原文发布时间:2017年5月10日 

本文由:HackerNews 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/proton-trojan-hacked-handbrake-server

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: