HandBrake infecté par le malware PROTON : comment s'en débarrasser ?

Mickaël Bazoge |

HandBrake, le fameux logiciel d’encodage vidéo, a été victime d’une attaque. La version 1.0.7 hébergée par un des serveurs miroir — download.handbrake.fr — a caché pendant quelques jours un fichier malveillant, en l’occurrence une variante d’OSX.PROTON. Le serveur infecté a été fermé par HandBrake le temps de l’enquête.

Les internautes qui ont téléchargé le logiciel depuis ce serveur entre le 2 mai (16h30) et le 6 mai (13h) ont 50% de malchance d’avoir infecté leurs Mac avec ce cheval de Troie. Pour en avoir le cœur net, rendez-vous dans l’application Moniteur d’activité de macOS pour y rechercher un processus Activity_agent. S’il est présent, vous êtes infecté ?.

Pour information, les sommes de contrôle des versions infectées de HandBrake sont les suivantes :

  • SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
  • SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

HandBrake fournit la méthode pour se débarrasser de ce malware. Ouvrez une fenêtre de Terminal, puis saisissez (ou copiez/collez) les commandes suivantes :

> launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist 
> rm -rf ~/Library/RenderFiles/activity_agent.app
> if ~/Library/VideoFrameworks/ 

Si le dossier contient proton.zip, supprimez ce fichier, puis supprimez dans la foulée les versions de Handbrake.app qui peuvent se trouver sur le disque du Mac. Les développeurs conseillent également de modifier illico les mots de passes contenus dans le Trousseau d’accès et/ou dans les apps coffre-fort que vous pourriez utiliser.

Apple a été mis au courant hier de l’existence de cette variante de PROTON, et XProtect est en passe d’être mis à jour avec cette nouvelle définition de malware. Une première version de ce logiciel malveillant a été repérée en février, et Apple avait aussi mis à jour rapidement XProtect. En ce qui concerne HandBrake, le site web ainsi que le serveur principal ne sont pas affectés.

Ce type d’infection, qui en passe par le téléchargement d’une version « authentique » d’un logiciel connu, évoque évidemment le précédent Transmission. Ce client BitTorrent a transporté un passager clandestin, Keydnap, qui a eu le triste privilège d’être le premier rançongiciel de l’histoire de macOS (lire : OSX/Keydnap : Transmission une fois de plus infecté).

L’ironie de l’histoire, c’est que Transmission et HandBrake partagent une histoire commune : les deux logiciels ont le même créateur. Ce dernier ne fait pas partie de l’équipe actuelle de développeurs d’HandBrake, et il n’y a aucun partage de machines virtuelles entre HandBrake et Transmission.


Source
Merci Doctor Who
avatar ya2nick | 

Je pense avoir mis à jour handbrake à ces dates, vivement que je sois chez moi pour vérifier.

avatar frankm | 

@ya2nick

Putain. Et dire que j'ai failli télécharger ce logiciel pour voir si je pouvais convertir du YouTube vers mp4.
Bon courage. Il est relativement facile à virer on dirait

avatar iPop | 

@frankm

Le plus simple étant de télécharger directement du Mp4, ça évite la besogne.

avatar gwen | 

@iPop

Ça dépend du taux de compression de ton mp4. Et puis, les vacances à la mer, il n'y a pas toujours besoin d'envoyer ça en 4K à la famille.

avatar ya2nick | 

@frankm

J'ai vérifié partout, aucune trace de ce malware.

Ouf !

avatar Biking Dutch Man | 

Pas très rassurant mais une communication transparente reste la meilleure manière de sauvegarder la crédibilité. Merci de ce message exemplaire. Et merci à l'équipe de Handbrake, ce logiciel est superbe!

avatar Powerdom | 

Handbrake je l'utilisais du temps des DVD pour pirater des films mais maintenant cette application sert à quoi ?

avatar dtb06 | 

Ben à compresser des vidéos...
Genre tu filmes un truc avec ton iphone ou ta gopro, et du veux garder une version non compressée pour toi et l'uploader sur un FTP ou un Dropbox pour filer le lien à tes amis pour une vidéo privée ou à tes collègues pour une vidéo professionnelle sans que ça pèse 4Go...

avatar Fennec72 | 

Donc, si on est en version 1.0.7, mais qu'on a pas trouvé de processus "Activity_agent", c'est qu'il n'y a aucun risque qu'on soit infecté?

Soit j'ai de la chance, soit MacUpdate Desktop, à partir duquel j'ai fait la mise à jour d'HandBrake sur mes 2 Mac, n'utilise pas le serveur infecté.

avatar marenostrum | 

y a rien de tout ça chez moi, 1.0.7 mais mise à jour le 20 avril.
les logiciels libres sont problématiques parce que les gens qui s'occupent d'eux changent constamment et sont trop nombreux. mieux faut les éviter et préférer des trucs payants, pour plus de sécurité et de suivi.

avatar jujuhtst | 

C'est vrai que ce genre de chose n'arrive jamais chez les distributeurs de logiciels payants / proprio :
Un exemple parmi d'autre : https://www.cnet.com/news/ms-ships-cd-rom-with-virus/

avatar marenostrum | 

sur quel logiciel payant c'est arrivé. exemple concret pas de la théorie.

avatar jujuhtst | 

Faut suivre le lien que j'ai indiqué : Microsoft… C'est vieux, c'était via des CD-ROM qui ont été pressé directement avec un virus dessus.

Un autre exemple plus récents (quelques jours), IBM :
https://www.forbes.com/sites/leemathews/2017/05/03/ibm-warns-customers-after-shipping-them-infected-usb-drives/

avatar iPop | 

@marenostrum

Sur le logiciel TRANSMIT par exemple e qui est payant.

avatar marenostrum | 

tu te trompes de logiciel je crois, c'était Transmission (P2P gratuit) et pas Transmit.

avatar patrick86 | 

"les logiciels libres sont problématiques parce que les gens qui s'occupent d'eux changent constamment et sont trop nombreux. mieux faut les éviter et préférer des trucs payants, pour plus de sécurité et de suivi."

Peut-être aussi que payer les logiciels le Brésil, plutôt que de considérer qu'ils doivent être gratuits, aiderait leurs développeurs à s'investir plus durablement sur ces projets. ?

avatar fousfous | 

D'où l'intérêt de ne pas télécharger sur les sites des devs qui ne sont pas sécurisés.
Pas de problèmes de ce genre avec le MAS.

avatar mat 1696 | 

@fousfous

Ça c'est sûr... Moi si le logiciel est au même prix sur les 2, je le prends tout le temps sur la mas. Après c'est, malheureusement, rarement le cas...

avatar jujuhtst | 

Il y a déjà eu des malwares sur le MAS…

avatar mat 1696 | 

@jujuhtst

Oui des app Malwares passées entre les mailles du filet de la validation (ce qui est aussi très grave). Mais pas des app de renommée, dont leur copie a été vérolée sur les serveurs d'Apple à ma connaissance...

avatar r e m y | 

@mat 1696

Il y avait eu le cas d'AngryBirds2 dans certaines zones géographiques (Chine notamment)

avatar huexley | 

@fousfous Encore une fois tu brilles par ta connaissance… Hésites pas à faire des recherches sur XcodeGhost

avatar violonisme | 

@fousfous

Ben moi je préfère le prendre sur le site du développeur, parce que ça reste extrêmement marginal, et que je préfère donner 100% du prix du produit au producteur. Apple a déjà assez d impôts à ne pas payer par optimisation.

avatar fousfous | 

@violonisme

100%?
Bah le dev a encore à payer les frais pour le site, les frais bancaires (avec au moins un bonus de 3% pour changer de devise), la promotion à faire...
Ça reviens vite très chère tout ça et on se rapproche de ce que prend Apple.

avatar marenostrum | 

eh non. ça fait 15 ans que mon frère vend des logiciels en ligne. ça coute pas grand chose du tout. ce qui coute c'est d'acheter des licences de logiciels (graphiques, utilitaires, montage, etc), des plugins, etc, parce que tu ne peux pas tout développer tout seul, le temps ne suffit pas ni tes forces mentales. t'en auras besoin de pleins de trucs, si tu veux faire un logiciel complet et correct niveau design (l'icône, interface et tout ça).

et puis l'argent ne suffit pas il te faut une banque derrière qui croit dans le potentiel de ton affaire, pour embaucher des gens, etc, si tu veux devenir mondialement connu. sinon tu n'en fais que très peu de gains. beaucoup préfèrent devenir salariés, ils bossent moins et gagnent plus qu'en restant indépendant.

avatar vrts | 

Fousfous, c'est incroyable , quasiment à chaque message tu racontes n'importe quoi...

Utilises Google au moins avant de commenter, le minimum syndicale pour les noobs quoi.

avatar Manubzh | 

fousfous... tu as loupé une occasion de te taire encore :)
cela dit, sur le principe, tu n'as pas tort

bon bah les virus arrivent en nombre en ce moment dit donc !
on parle plus de la sécurité légendaire de macOS...

avatar iPop | 

@Manubzh

Moi , c'est simple :je ne télécharge rien du tout. ?

avatar byte_order | 

> on parle plus de la sécurité légendaire de macOS...

Parce que c'était une légende, cachant les bienfaits d'une audience insuffisante pour attirer l'attention des malwares plutot qu'une vraie sécurité...

avatar GoldenPomme | 

C'tait tellement secure que lors d'un concours au début des années 2000, avec grosse récompense en $ à la cléf, c'est le DoD ou le FBI qui a obliger les organisateurs à l'annuler.

Apple c'est tellement secure que le gouvernement doit intervenir pour éviter qu'une tonne de machine à travers le monde et à la sécurité en carton ne tombent comme des mouches en quelques heures. :)

Yen a qui devrait faire une classe action pour publicité mensongère.

avatar lll | 

Je venais de réinstaller Handbrake après une installation propre du système censée virer toutes les m*, je me retrouve avec cet Activity Agent... Cool !

Si les commandes ne fonctionnent pas dans le Terminal, vous pouvez aussi localiser les dossiers à la main :

Bibliothèque/Library/LaunchAgents/fr.handbrake.activity_agent.plist
Bibliothèque/RenderFiles/activity_agent.app
Bibliothèque/VideoFrameworks/ contains proton.zip

J'imagine que ça suffit mais par sécurité, je vais réinstaller le système.

avatar mat 1696 | 

@lll

Bonne chance ahahah

avatar lll | 

@mat 1696 : se moquer des gens qui chopent un virus en téléchargeant des conneries, d'accord, mais Handbrake est un logiciel réputé fiable alors j'ai du mal à voir en quoi c'est amusant...

avatar mat 1696 | 

@lll

Je me moque pas je te souhaitais simplement bonne chance, vu que tu viens de faire une clean install et que tu dois en refaire une...

Je vois pas en quoi "Bonne chance ahahah" serait d'une part se moquer des gens qui attrapent un "virus" comme tu dis ou encore critiquer le logiciel Handbrake! Alors faut se calmer avant de croire que tout le monde vous veut du mal hein... On peut aussi écrire un message de compassion!!!

avatar lll | 

@mat 1696

Mes excuses si je l'ai mal pris : je suis du genre précautionneux avec mon Mac et je suis un peu nerveux d'avoir subi cet épisode de malchance.

N'empêche, nouvelle clean install ou non, je reste inquiet car je ne sais pas si ce Proton est capable de noter la frappe au clavier, par exemple (j'enregistre mes mots de passe, tous différents, dans Dashlane mais si mon mot de passe maître a pu être lu, c'est inquiétant).

avatar GoldenPomme | 

handbrake est tjrs fiable c'est juste le serveur où il est héberger qui a eux un soucis de sécurité qui a permis d'y placer une version frelatée.

m'fin tant qu'apple ferra croire à ses moutons qu'ils vaut mieux guérir que prévenir ce genre de soucis ce répètera avec le temps et de plus en plus souvent.

avatar zoubi2 | 

@III

Si vous virez les 3 fichiers/dossiers que vous citez et si ensuite il n'y a plus trace de "activity_agent" dans le moniteur d'activité, ça ne suffit vraiment pas ?

avatar lll | 

J'aimerais en être sûr. Heureusement, je ne stocke pas ou peu de mots de passe via le navigateur, mais je ne suis pas rassuré. On se croit en sécurité sur un Mac et puis pouf.

avatar ziggyspider | 

Décidément, il ne se passe plus une journée sans qu'une nouvelle merde arrive sur nos Mac !
Heureusement, j'ai mis Handbrake à jour 2 semaines avant, je suis passé entre les gouttes !

avatar pim | 

La dernière ligne, c'est :

if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

car sinon ça ne marche pas.

avatar Yoskiz (non vérifié) | 

Je n'ai pas HandBrake, mais je suis de plus en plus inquiet des ces malware qui semble de plus en plus fréquent sur nos Mac.

Mais que faire ? Quelles solutions utiliser ?

avatar lll | 

Sachant que les anti-virus n'ont rien vu venir... :(

avatar Yoskiz (non vérifié) | 

@lll

La détection de LittleSnitch 3 sur la machine aurait pu empêcher l'installation de ce malware ?

avatar marenostrum | 

non, mais au moins il te montre si le malware veut se connecter avec son serveur, et tu peux le bloquer (il ne se connecte pas et n'envoye pas de données) et après le traquer dans ta machine pour le supprimer.
mais Little Snitch ce n'est pas un antivirus, juste il bloque les connexions intérieures vers extérieur.

avatar Fumomono | 

Déjà savoir que 100% de protection est impossible, donc faire des sauvegardes externes. Ensuite, acheter ses logiciels sur le MacAppStore est pour le moment assez sécurisé, même si théoriquement eux aussi peuvent se faire avoir.

Et en règle générale :
- ne jamais taper ton mot de passe si tu ne comprends pas pourquoi on te le demande (tu peux écrire à l'éditeur pour demander la raison par exemple).
- ne jamais faire confiance à des collègues/amis qui te passent un logiciel.
- ne pas faire confiance aux sites louches (!), ne pas s'emballer sur les pop-up alarmistes ("votre mac est infecté, installez à tout prix ce logiciel pour éviter de perdre vos données").
- éviter de cliquer sur les liens que tu reçois par email pour télécharger un logiciel ou accéder à une interface qui t'imposera un login. Il vaut mieux faire une recherche via ton navigateur et aller de cette façon sur le site.
- ne pas se précipiter pour les m-à-j et suivre les news des sites mac. En général, aucune mise à jour ne va à ce point transformer ta vie qu'il faut que tu l'installes le premier jour. Autant laisser 1 à 2 semaines de battement, que les autres essuient les plâtres.
- ne pas hésiter à faire une recherche sur internet avant d'acheter/installer un logiciel pour voir les commentaires utilisateurs, les revues...

Avec ça tu devrais être tranquille, sauf si tu n'as vraiment pas de chance. A ma connaissance, on n'a pas encore vu quelque chose sur mac capable de s'installer et d'être néfaste sans que l'utilisateur lui donne lui-même les droits d'accès (souvent sans le vouloir bien sûr).

avatar lll | 

J'observe toujours ces règles mais dans le cadre d'une clean install (suite à l'installation d'un SSD dans mon iMac), j'ai voulu réinstaller Handbrake et bam, je suis tombé sur le mauvais lot. Moi qui me pensais à l'abri de ce genre de crasses...

avatar Fumomono | 

Impossible d'être à l'abri, l'informatique ne sera jamais sûre à 100% à cause du facteur humain. Sur ce coup, tu n'as vraiment pas eu de chance (changement de DD pile dans cette période, choix de la clean install plutôt que d'un simple clonage, installation de Handbrake dans cette période alors que tu n'aurais pu en avoir besoin que 1 mois plus tard). J'espère que ça en restera juste à la manip pour le virer et qu'il n'aura pas eu le temps de te piquer quoi que ce soit (je changerais quand même mes MDP pour plus de sûreté).

avatar pat3 | 

@Fumomono

"Ensuite, acheter ses logiciels sur le MacAppStore est pour le moment assez sécurisé, même si théoriquement eux aussi peuvent se faire avoir."

C'est quoi l'équivalent de Handbrake sur le MAS?
Depuis combien de temps vous êtes sur mac les gars? Les logiciels de conversion vidéo ont juste toujours été meilleurs en open source qu'en payant depuis OS X. C'est juste un des insignes avantages d'être passé sous Unix. Je n'ai rien contre le MacAppStore, mais à un moment faut juste se rendre compte de ce qu'on raconte. Il y a une vie en dehors du MAS, et pas nécessairement une vie de merde. Hormis les logiciels d'Apple, on peut même plus facilement se passer du MAS que l'inverse.

avatar marenostrum | 

Ils sont pas meilleurs en open source. Mais plein de bugs genants. Leur ritme effréné des m-a-j le demontre. Mais ils sont gratuits.

l'équivalent de Handbrake c'est Video Converter Master Lite sur MAS

avatar Mantinum | 

@marenostrum

L'open source est plus buggué ??!

Alors là je demande à voir, j'aurai tendance à dire l'inverse, moi.

Pages

CONNEXION UTILISATEUR