オープンソースの動画トランスコーディングアプリ「Handbrake」の開発者が、Macユーザーに向けてセキュリティ警告を発しました。同ソフトウェアをホストするミラーダウンロードサーバーがハッキングされ、Handbrake 1.0.7のインストーラーファイルがマルウェアに感染したファイルに置き換えられました。
ミラーサーバー download.handbrake.fr 上のオリジナルの Handbrake 1.0.7.dmg インストーラー ファイルが悪意のあるコードに置き換えられたため、開発者は土曜日に警告を発しました。
[2017年5月2日 14:30 UTC]から[2017年5月6日 11:00 UTC]の間にMacにHandBrakeをダウンロードした人は、実行する前にファイルのSHA1 / 256の合計を検証する必要があります。
Mac版HandBrakeをインストールした方は、システムがトロイの木馬に感染していないことを確認する必要があります。この期間中にHandBrakeをダウンロードした場合、感染する可能性は50%です。
検出
OSXアクティビティモニタアプリケーションに「Activity_agent」というプロセスが表示されている場合は、感染しています。
参考までに、次のチェックサムを持つ HandBrake.dmg をインストールした場合も感染します。
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793問題のトロイの木馬はOSX.PROTONの新しい亜種である。
マルウェアを削除するには、「ターミナル」アプリケーションを開き、次のコマンドを実行します。
- launchctl アンロード ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/ライブラリ/RenderFiles/activity_agent.app
- ~/Library/VideoFrameworks/ に proton.zip が含まれている場合は、フォルダを削除します。
次に、Macにインストールされている「HandBrake.app」をすべて削除してください。開発者によると、OS Xのキーチェーンやブラウザのパスワードストアに保存されているすべてのパスワードも変更する必要があるとのことです。
Handbrake の開発者らは、OSX の XProtect 機能の定義を更新するプロセスが日曜の朝に開始され、すぐに自動的にマシンに展開され始めるはずだと Apple から通知を受けたと述べている。
