Sur Mac, le logiciel HandBrake a été proposé avec un malware pendant plusieurs jours


  • Admin

    Les utilisateurs du logiciel HandBrake sur Mac en ont peut-être obtenu une version frelatée s’ils l’ont installé récemment. Les développeurs avertissent qu’un fichier infecté a été placé à leur insu sur leurs serveurs de téléchargement. On peut cependant se débarrasser du malware.

    alt text

    HandBrake est un logiciel open source très connu dans le domaine des conversions de vidéos, qui se veut relativement simple à utiliser. Le type d’application tout-en-un et prenant l’utilisateur par la main qui a fait son succès. Mais à l’instar de ce que l’on avait pu voir avec Transmission l’année dernière, le site officiel s’est mis à distribuer pendant quelques jours une version infectée de HandBrake, avec un malware caché dans ses entrailles.

    Une variante du malware OSX.PROTON

    On ne sait pas exactement ce qui s’est passé, mais les serveurs de téléchargement de HandBrake ont distribué ce malware entre les 2 et 6 mai. En tenant compte de la « célébrité » du logiciel, ce sont pratiquement cinq journées entières durant lesquelles les internautes ont peut-être été infectés.

    « Peut-être » parce que les développeurs indiquent qu’il y a une chance sur deux pour que la mouture téléchargée contienne le malware (selon le miroir choisi pour l’internaute). Ce dernier est une variante d’OSX.PROTON, un outil d’accès distant (RAT, pour Remote Access Tool) somme toute assez classique, avec toutes les fonctionnalités qu’on peut attendre pour les pirates : surveillance des frappes au clavier, prise de captures d’écran, vol de fichiers, exécution de commandes, accès distant, etc.

    Ces actions ne sont autorisées que si l’attaquant parvient à obtenir les droits administrateurs, ce qui ne peut être donné que par le mot de passe de l’utilisateur. HandBrake n’en réclamant pas, les pirates ont glissé une fausse fenêtre demandant l’installation d’un pack de codecs. En temps normal, le logiciel n’en a pour information pas besoin.

    Le malware facile à détecter et à supprimer

    Heureusement pour l’utilisateur, le malware n’est pas un as du camouflage et ses techniques n’ont rien d’époustouflant… même si sa capacité de nuire est entière et qu’il peut faire de nombreux dégâts s’il parvient à s’activer.

    Pour savoir si vous êtes infecté, il suffit d’ouvrir le Moniteur d’activité (Dossiers Outils dans Applications) et de vérifier si une ligne « Activity_agent » apparaît. Si c’est le cas, c’est que votre Mac est contaminé. Cela étant, vous le saviez déjà peut-être si vous vous souvenez avoir donné votre mot de passe pour une installation de codecs.

    Pour supprimer le malware, il suffit d’exécuter les trois commandes dans le Terminal :

    launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
    rm -rf ~/Library/RenderFiles/activity_agent.app
    

    Notez que ces commandes ne s’occupent que de l’agent résident. Il faut dans tous les cas supprimer l’application en déplaçant l’icône dans le dossier Applications vers la Corbeille (et la vider tant qu’à faire). En outre, si un fichier proton.zip se trouve dans le dossier /Library/VideoFrameworks/, il faudra également l’expédier dans les limbes.

    Un type d’infection dont il est difficile de se méfier

    Qui que soient les responsables de cette contamination, le vecteur choisi fonctionnera toujours pour une partie des utilisateurs.

    […]

    Source et suite : nextinpact.com


    Si il y a des adeptes de la conversion vidéo sous Mac et qui utilisent HandBrake (très bon logiciel gratuit soit dit en passant), méfiez-vous et vérifiez la version installée, surtout si vous l’avez fait récemment.


  • Team

    Oh bah d’accord, si on peut même plus faire confiance aux sources sure :abba:


  • Team

    J’ai dû utiliser handrake aujourd’hui et evidemment, ça faisait un bout de temps que j’avais pas eu à l’utiliser donc j’ai eu une fenetre qui m’a dit qu’il fallait que j’upgrade, j’ai même pas osé le faire :peur:



Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.