[NewsBot]

Hier geht es zur originalen News: Handbrake für Mac - Download enthielt Malware im Blog

Wie der Hersteller der beliebten Videokonverter-App mitteilt, enthielt die Downloaddatei Malware. Betroffen dürften alle Benutzer sein die das Programm zwischen dem 2. und 6. Mai diesen Jahres heruntergeladen und installiert haben.

Woran erkennt mal die Malware?

Unter den Prozessen wird ein "Activity_agent" angezeigt

Wie entfernt man die Malware

Im Terminal gebt ihr die folgenden Befehle ein:

launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app
if ~/Library/VideoFrameworks/ contains proton.zip, remove the folder

Was ist noch zu tun?

Die Malware liest die Passwörter die in Apples Keychain gespeichert wurden aus, betroffene sollten also alle darin gespeicherten Passwörter ändern.

[olo]

damit kann man sie, falls befallen, suchen und wieder löschen...

https://de.malwarebytes.com/mac/

[snowman78]

Und wie soll das gehen mit dem auslesen? Der Schlüsselbund ist doch mit einem Passwort geschützt. Zumindest muss ich ein mir ein Kennwort eingeben, um die Passwörter anzeigen zu lassen.

Des Weiteren läuft bei mir Norton am Mac und der sollte das ja eigentlich anzeigen?!?

Gesendet von meinem SM-G935F mit Tapatalk

[*Leopard*]

Und wie kommt die Malware darein?

[inspi1717]

@NiOS
Einer der beiden Download-Server der Entwickler hat einen Trojaner verteilt.
Nach bisherigem Kenntnisstand erlangten Unbefugte Zugriff auf einen der offiziellen Download-Server von HandBrake und haben die Originaldatei durch eine modifizierte Kopie ausgetauscht.

Betroffene Nutzer sollten unbedingt die in ihrem macOS- bzw. iCloud-Schlüsselbund gespeicherten Passwörter ändern.

Wie da rein ? Nun ich denke er wird schon auf das entsprechende Passwort warten.
Davon abgesehen, ich würde diese Empfehlung auch rausgeben. 

[access]

@snowman78 Weiß ich nicht, evtl erscheint ein Login Fenster das unauffällig genug ist das man es für ein echtes hält.

Ich habe keinen Virenscanner daher kann ich deine zweite Frage nicht beantworten, evtl. ist es zu neu und die Signatur noch nicht im System.

@NiOS Steht auf der verlinkten Seite.

[Hulk Holger]

Hm damit entfällt nun auch das Argument, dass man sich am Mac nichts einfangen kann, wenn man sein Hirn einschaltet... ?

[*Leopard*]

@Hulk Holger

Nö. Das entfällt definitiv nicht. Man musste Benutzername und Passwort eingeben, damit das Teil überhaupt installiert wird. Da hätten alle Alarmglocken angehen müssen. Das ist nämlich nur der Fall, wenn das Teil Rootzugriff braucht. Und eine Videokonverter.app braucht nie im Leben Rootzugriff.

Also ich hätte mir das Teil auf keinen Fall installiert.

Brain.app. Schöne Sache.

Das gilt im übrigen nicht nur für den Mac. Das gilt für jedes System. Bei Windows heißt es halt Brain.exe

[Hulk Holger]

Kommt halt drauf an wie dieses Loginfenster aussah, wenn es Ähnlichkeit mit dem Standartinstallationsfenster aussieht?

[*Leopard*]

Dann fallen halt die Unvorsichtigen darauf rein. Selber Schuld, wenn man nicht mitdenken kann. Bei mir bekommt keine Videokonverter.app Rootzugriff. Da hätte ich die App gar nicht erst installiert. Man sollte vorher schon überlegen welchen Apps man Rootzugriff gewährt. Normale Apps brauchen das ja nicht, weil sie auch auf dem Mac in einer Sandbox laufen. Es sei denn man gewährt ihnen Rootzugriff.

[access]

So wie es sich mir darstellt sind nur wenige Leute betroffen, nämlich nur wer es im besagten Zeitraum von einem bestimmten Mirror heruntergeladen und installiert hat. Alle anderen, die das Programm über die Updatefunktion oder über die Original Downloadseite installiert haben sind nicht betroffen.

[iSuryoyo]

Wollte mir das heute installieren. Habe es schon runtergeladen und beim Installieren kam dann eine Fehlermeldung. Zum Glück