Handbrake infecté par le cheval de Troie Proton
HandBrake, un logiciel d’encodage vidéo sous mac, a été la cible d’un cheval de troie nommé « Proton »
HandBrake-1.0.7.dmg a été remplacé par un autre fichier malveillant inconnu qui NE CORRESPOND PAS aux hachages SHA1 / SHA256 sur le site Web ou sur le Github Wiki Miroir : https://github.com/HandBrake/HandBrake/wiki/Checksums
Quiconque a téléchargé HandBrake entre le 02 mai 2017 16:30 et le 06 mai 2017 13:00 doit vérifier la somme SHA1 / 256 du fichier avant de l’exécuter.
Quiconque a installé HandBrake doit vérifier que son système n’est pas infecté par un cheval de Troie, vous avez 50% de chance de l’être si vous avez téléchargé HandBrake pendant cette période.
Comment le détecter ?
Si vous voyez un processus appelé «activity_agent» dans l’application OSX Moniteur d’activité. Vous êtes infecté.
Pour référence, si vous avez effectué une installation avec une image HandBrake.dmg avec les sommes de contrôle suivantes, vous serez également infecté:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Le Trojan en question est une nouvelle variante de OSX.PROTON
Comment le supprimer ?
Ouvrez l’application « Terminal » et exécutez les commandes suivantes:
- launchctl unload ~/ Library / LaunchAgents / fr.handbrake.activity_agent.plist
- rm -rf ~/ Library / RenderFiles / activity_agent.app
- Si le dossier ~/ Library / VideoFrameworks / contient proton.zip, supprimer le dossier
Ensuite, supprimez toutes les installations « HandBrake.app » que vous pourriez avoir.
Autres actions requises :
Sur la base des informations que nous avons, vous devez également modifier tous les mots de passe qui peuvent résider dans votre système d’exploitation OSX Trousseaux d’accès ou ceux stockés dans votre/vos navigateurs car Proton les a potentiellement dérobés.