HandBrake infecté par le malware PROTON : comment s'en débarrasser ?

Mickaël Bazoge |

HandBrake, le fameux logiciel d’encodage vidéo, a été victime d’une attaque. La version 1.0.7 hébergée par un des serveurs miroir — download.handbrake.fr — a caché pendant quelques jours un fichier malveillant, en l’occurrence une variante d’OSX.PROTON. Le serveur infecté a été fermé par HandBrake le temps de l’enquête.

Les internautes qui ont téléchargé le logiciel depuis ce serveur entre le 2 mai (16h30) et le 6 mai (13h) ont 50% de malchance d’avoir infecté leurs Mac avec ce cheval de Troie. Pour en avoir le cœur net, rendez-vous dans l’application Moniteur d’activité de macOS pour y rechercher un processus Activity_agent. S’il est présent, vous êtes infecté 😨.

Pour information, les sommes de contrôle des versions infectées de HandBrake sont les suivantes :

  • SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
  • SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

HandBrake fournit la méthode pour se débarrasser de ce malware. Ouvrez une fenêtre de Terminal, puis saisissez (ou copiez/collez) les commandes suivantes :

> launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist 
> rm -rf ~/Library/RenderFiles/activity_agent.app
> if ~/Library/VideoFrameworks/ 

Si le dossier contient proton.zip, supprimez ce fichier, puis supprimez dans la foulée les versions de Handbrake.app qui peuvent se trouver sur le disque du Mac. Les développeurs conseillent également de modifier illico les mots de passes contenus dans le Trousseau d’accès et/ou dans les apps coffre-fort que vous pourriez utiliser.

Apple a été mis au courant hier de l’existence de cette variante de PROTON, et XProtect est en passe d’être mis à jour avec cette nouvelle définition de malware. Une première version de ce logiciel malveillant a été repérée en février, et Apple avait aussi mis à jour rapidement XProtect. En ce qui concerne HandBrake, le site web ainsi que le serveur principal ne sont pas affectés.

Ce type d’infection, qui en passe par le téléchargement d’une version « authentique » d’un logiciel connu, évoque évidemment le précédent Transmission. Ce client BitTorrent a transporté un passager clandestin, Keydnap, qui a eu le triste privilège d’être le premier rançongiciel de l’histoire de macOS (lire : OSX/Keydnap : Transmission une fois de plus infecté).

L’ironie de l’histoire, c’est que Transmission et HandBrake partagent une histoire commune : les deux logiciels ont le même créateur. Ce dernier ne fait pas partie de l’équipe actuelle de développeurs d’HandBrake, et il n’y a aucun partage de machines virtuelles entre HandBrake et Transmission.

Source
Merci Doctor Who
avatar ya2nick | 

Je pense avoir mis à jour handbrake à ces dates, vivement que je sois chez moi pour vérifier.

avatar frankm | 

@ya2nick

Putain. Et dire que j'ai failli télécharger ce logiciel pour voir si je pouvais convertir du YouTube vers mp4.
Bon courage. Il est relativement facile à virer on dirait

avatar iPop | 

@frankm

Le plus simple étant de télécharger directement du Mp4, ça évite la besogne.

avatar gwen | 

@iPop

Ça dépend du taux de compression de ton mp4. Et puis, les vacances à la mer, il n'y a pas toujours besoin d'envoyer ça en 4K à la famille.

avatar ya2nick | 

@frankm

J'ai vérifié partout, aucune trace de ce malware.

Ouf !

avatar Biking Dutch Man | 

Pas très rassurant mais une communication transparente reste la meilleure manière de sauvegarder la crédibilité. Merci de ce message exemplaire. Et merci à l'équipe de Handbrake, ce logiciel est superbe!

avatar Powerdom | 

Handbrake je l'utilisais du temps des DVD pour pirater des films mais maintenant cette application sert à quoi ?

avatar dtb06 | 

Ben à compresser des vidéos...
Genre tu filmes un truc avec ton iphone ou ta gopro, et du veux garder une version non compressée pour toi et l'uploader sur un FTP ou un Dropbox pour filer le lien à tes amis pour une vidéo privée ou à tes collègues pour une vidéo professionnelle sans que ça pèse 4Go...

avatar Fennec72 | 

Donc, si on est en version 1.0.7, mais qu'on a pas trouvé de processus "Activity_agent", c'est qu'il n'y a aucun risque qu'on soit infecté?

Soit j'ai de la chance, soit MacUpdate Desktop, à partir duquel j'ai fait la mise à jour d'HandBrake sur mes 2 Mac, n'utilise pas le serveur infecté.

avatar marenostrum | 

y a rien de tout ça chez moi, 1.0.7 mais mise à jour le 20 avril.
les logiciels libres sont problématiques parce que les gens qui s'occupent d'eux changent constamment et sont trop nombreux. mieux faut les éviter et préférer des trucs payants, pour plus de sécurité et de suivi.

avatar jujuhtst | 

C'est vrai que ce genre de chose n'arrive jamais chez les distributeurs de logiciels payants / proprio :
Un exemple parmi d'autre : https://www.cnet.com/news/ms-ships-cd-rom-with-virus/

avatar marenostrum | 

sur quel logiciel payant c'est arrivé. exemple concret pas de la théorie.

avatar jujuhtst | 

Faut suivre le lien que j'ai indiqué : Microsoft… C'est vieux, c'était via des CD-ROM qui ont été pressé directement avec un virus dessus.

Un autre exemple plus récents (quelques jours), IBM :
https://www.forbes.com/sites/leemathews/2017/05/03/ibm-warns-customers-a...

avatar iPop | 

@marenostrum

Sur le logiciel TRANSMIT par exemple e qui est payant.

avatar marenostrum | 

tu te trompes de logiciel je crois, c'était Transmission (P2P gratuit) et pas Transmit.

avatar patrick86 | 

"les logiciels libres sont problématiques parce que les gens qui s'occupent d'eux changent constamment et sont trop nombreux. mieux faut les éviter et préférer des trucs payants, pour plus de sécurité et de suivi."

Peut-être aussi que payer les logiciels le Brésil, plutôt que de considérer qu'ils doivent être gratuits, aiderait leurs développeurs à s'investir plus durablement sur ces projets. ?

avatar fousfous | 

D'où l'intérêt de ne pas télécharger sur les sites des devs qui ne sont pas sécurisés.
Pas de problèmes de ce genre avec le MAS.

avatar mat 1696 | 

@fousfous

Ça c'est sûr... Moi si le logiciel est au même prix sur les 2, je le prends tout le temps sur la mas. Après c'est, malheureusement, rarement le cas...

avatar jujuhtst | 

Il y a déjà eu des malwares sur le MAS…

avatar mat 1696 | 

@jujuhtst

Oui des app Malwares passées entre les mailles du filet de la validation (ce qui est aussi très grave). Mais pas des app de renommée, dont leur copie a été vérolée sur les serveurs d'Apple à ma connaissance...

avatar r e m y | 

@mat 1696

Il y avait eu le cas d'AngryBirds2 dans certaines zones géographiques (Chine notamment)

avatar huexley | 

@fousfous Encore une fois tu brilles par ta connaissance… Hésites pas à faire des recherches sur XcodeGhost

avatar violonisme | 

@fousfous

Ben moi je préfère le prendre sur le site du développeur, parce que ça reste extrêmement marginal, et que je préfère donner 100% du prix du produit au producteur. Apple a déjà assez d impôts à ne pas payer par optimisation.

avatar fousfous | 

@violonisme

100%?
Bah le dev a encore à payer les frais pour le site, les frais bancaires (avec au moins un bonus de 3% pour changer de devise), la promotion à faire...
Ça reviens vite très chère tout ça et on se rapproche de ce que prend Apple.

avatar marenostrum | 

eh non. ça fait 15 ans que mon frère vend des logiciels en ligne. ça coute pas grand chose du tout. ce qui coute c'est d'acheter des licences de logiciels (graphiques, utilitaires, montage, etc), des plugins, etc, parce que tu ne peux pas tout développer tout seul, le temps ne suffit pas ni tes forces mentales. t'en auras besoin de pleins de trucs, si tu veux faire un logiciel complet et correct niveau design (l'icône, interface et tout ça).

et puis l'argent ne suffit pas il te faut une banque derrière qui croit dans le potentiel de ton affaire, pour embaucher des gens, etc, si tu veux devenir mondialement connu. sinon tu n'en fais que très peu de gains. beaucoup préfèrent devenir salariés, ils bossent moins et gagnent plus qu'en restant indépendant.

Pages

CONNEXION UTILISATEUR