HandBrake infecté par le malware PROTON : comment s'en débarrasser ?
HandBrake, le fameux logiciel d’encodage vidéo, a été victime d’une attaque. La version 1.0.7 hébergée par un des serveurs miroir — download.handbrake.fr — a caché pendant quelques jours un fichier malveillant, en l’occurrence une variante d’OSX.PROTON. Le serveur infecté a été fermé par HandBrake le temps de l’enquête.
Les internautes qui ont téléchargé le logiciel depuis ce serveur entre le 2 mai (16h30) et le 6 mai (13h) ont 50% de malchance d’avoir infecté leurs Mac avec ce cheval de Troie. Pour en avoir le cœur net, rendez-vous dans l’application Moniteur d’activité de macOS pour y rechercher un processus Activity_agent. S’il est présent, vous êtes infecté ?.
Pour information, les sommes de contrôle des versions infectées de HandBrake sont les suivantes :
- SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
- SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
HandBrake fournit la méthode pour se débarrasser de ce malware. Ouvrez une fenêtre de Terminal, puis saisissez (ou copiez/collez) les commandes suivantes :
> launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
> rm -rf ~/Library/RenderFiles/activity_agent.app
> if ~/Library/VideoFrameworks/
Si le dossier contient proton.zip, supprimez ce fichier, puis supprimez dans la foulée les versions de Handbrake.app qui peuvent se trouver sur le disque du Mac. Les développeurs conseillent également de modifier illico les mots de passes contenus dans le Trousseau d’accès et/ou dans les apps coffre-fort que vous pourriez utiliser.
Apple a été mis au courant hier de l’existence de cette variante de PROTON, et XProtect est en passe d’être mis à jour avec cette nouvelle définition de malware. Une première version de ce logiciel malveillant a été repérée en février, et Apple avait aussi mis à jour rapidement XProtect. En ce qui concerne HandBrake, le site web ainsi que le serveur principal ne sont pas affectés.
Ce type d’infection, qui en passe par le téléchargement d’une version « authentique » d’un logiciel connu, évoque évidemment le précédent Transmission. Ce client BitTorrent a transporté un passager clandestin, Keydnap, qui a eu le triste privilège d’être le premier rançongiciel de l’histoire de macOS (lire : OSX/Keydnap : Transmission une fois de plus infecté).
L’ironie de l’histoire, c’est que Transmission et HandBrake partagent une histoire commune : les deux logiciels ont le même créateur. Ce dernier ne fait pas partie de l’équipe actuelle de développeurs d’HandBrake, et il n’y a aucun partage de machines virtuelles entre HandBrake et Transmission.
Je pense avoir mis à jour handbrake à ces dates, vivement que je sois chez moi pour vérifier.
@ya2nick
Putain. Et dire que j'ai failli télécharger ce logiciel pour voir si je pouvais convertir du YouTube vers mp4.
Bon courage. Il est relativement facile à virer on dirait
@frankm
Le plus simple étant de télécharger directement du Mp4, ça évite la besogne.
@iPop
Ça dépend du taux de compression de ton mp4. Et puis, les vacances à la mer, il n'y a pas toujours besoin d'envoyer ça en 4K à la famille.
@frankm
J'ai vérifié partout, aucune trace de ce malware.
Ouf !
Pas très rassurant mais une communication transparente reste la meilleure manière de sauvegarder la crédibilité. Merci de ce message exemplaire. Et merci à l'équipe de Handbrake, ce logiciel est superbe!
Handbrake je l'utilisais du temps des DVD pour pirater des films mais maintenant cette application sert à quoi ?
Ben à compresser des vidéos...
Genre tu filmes un truc avec ton iphone ou ta gopro, et du veux garder une version non compressée pour toi et l'uploader sur un FTP ou un Dropbox pour filer le lien à tes amis pour une vidéo privée ou à tes collègues pour une vidéo professionnelle sans que ça pèse 4Go...
Donc, si on est en version 1.0.7, mais qu'on a pas trouvé de processus "Activity_agent", c'est qu'il n'y a aucun risque qu'on soit infecté?
Soit j'ai de la chance, soit MacUpdate Desktop, à partir duquel j'ai fait la mise à jour d'HandBrake sur mes 2 Mac, n'utilise pas le serveur infecté.
y a rien de tout ça chez moi, 1.0.7 mais mise à jour le 20 avril.
les logiciels libres sont problématiques parce que les gens qui s'occupent d'eux changent constamment et sont trop nombreux. mieux faut les éviter et préférer des trucs payants, pour plus de sécurité et de suivi.
C'est vrai que ce genre de chose n'arrive jamais chez les distributeurs de logiciels payants / proprio :
Un exemple parmi d'autre : https://www.cnet.com/news/ms-ships-cd-rom-with-virus/
sur quel logiciel payant c'est arrivé. exemple concret pas de la théorie.
Faut suivre le lien que j'ai indiqué : Microsoft… C'est vieux, c'était via des CD-ROM qui ont été pressé directement avec un virus dessus.
Un autre exemple plus récents (quelques jours), IBM :
https://www.forbes.com/sites/leemathews/2017/05/03/ibm-warns-customers-after-shipping-them-infected-usb-drives/
@marenostrum
Sur le logiciel TRANSMIT par exemple e qui est payant.
tu te trompes de logiciel je crois, c'était Transmission (P2P gratuit) et pas Transmit.
"les logiciels libres sont problématiques parce que les gens qui s'occupent d'eux changent constamment et sont trop nombreux. mieux faut les éviter et préférer des trucs payants, pour plus de sécurité et de suivi."
Peut-être aussi que payer les logiciels le Brésil, plutôt que de considérer qu'ils doivent être gratuits, aiderait leurs développeurs à s'investir plus durablement sur ces projets. ?
D'où l'intérêt de ne pas télécharger sur les sites des devs qui ne sont pas sécurisés.
Pas de problèmes de ce genre avec le MAS.
@fousfous
Ça c'est sûr... Moi si le logiciel est au même prix sur les 2, je le prends tout le temps sur la mas. Après c'est, malheureusement, rarement le cas...
Il y a déjà eu des malwares sur le MAS…
@jujuhtst
Oui des app Malwares passées entre les mailles du filet de la validation (ce qui est aussi très grave). Mais pas des app de renommée, dont leur copie a été vérolée sur les serveurs d'Apple à ma connaissance...
@mat 1696
Il y avait eu le cas d'AngryBirds2 dans certaines zones géographiques (Chine notamment)
@fousfous Encore une fois tu brilles par ta connaissance… Hésites pas à faire des recherches sur XcodeGhost
@fousfous
Ben moi je préfère le prendre sur le site du développeur, parce que ça reste extrêmement marginal, et que je préfère donner 100% du prix du produit au producteur. Apple a déjà assez d impôts à ne pas payer par optimisation.
@violonisme
100%?
Bah le dev a encore à payer les frais pour le site, les frais bancaires (avec au moins un bonus de 3% pour changer de devise), la promotion à faire...
Ça reviens vite très chère tout ça et on se rapproche de ce que prend Apple.
eh non. ça fait 15 ans que mon frère vend des logiciels en ligne. ça coute pas grand chose du tout. ce qui coute c'est d'acheter des licences de logiciels (graphiques, utilitaires, montage, etc), des plugins, etc, parce que tu ne peux pas tout développer tout seul, le temps ne suffit pas ni tes forces mentales. t'en auras besoin de pleins de trucs, si tu veux faire un logiciel complet et correct niveau design (l'icône, interface et tout ça).
et puis l'argent ne suffit pas il te faut une banque derrière qui croit dans le potentiel de ton affaire, pour embaucher des gens, etc, si tu veux devenir mondialement connu. sinon tu n'en fais que très peu de gains. beaucoup préfèrent devenir salariés, ils bossent moins et gagnent plus qu'en restant indépendant.
Pages