De acordo com um post no fórum do aplicativo HandBrake — um conversor de vídeos multiplataforma bastante popular — nos últimos dias, um dos servidores deles foram comprometidos, e teve o aplicativo original trocado por um infectado com um trojan (uma variante do trojan denominado OSX.PROTON). A versão modificada do aplicativo foi a 1.0.7.
Caso o hash do arquivo .dmg retorne os seguintes valores não instale o aplicativo, pois essa é a versão infectada:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Ainda segundo o post, para downloads realizados entre o dia 2 de maio de 2017 e 6 de maio de 2017, há uma chance de 50% de que o aplicativo baixado estivesse infectado — o aplicativo tem 2 servidores e apenas 1 foi comprometido. Se você baixou o HandBrake durante esse período e quer verificar o seu sistema pelo possível trojan abra o “Monitor de Atividades” no seu Mac e procure por um processo chamado “Activity_agent” e, caso o processo exista, é sinal de que seu Mac foi infectado.
Caso o seu Mac esteja infectado o processo de remoção requere que você abra o Terminal e rode os seguintes comandos:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
- se na pasta ~/Library/VideoFrameworks/ existir um arquivo chamado proton.zip, apague-o
Em seguida remova o aplicativo da pasta de “Aplicativos” no Finder. Orientações adicionais incluem mudar todas as suas senhas armazenas no Chaves do iCloud (iCloud Keychain) ou salvas em qualquer navegador.
Mais informações (em inglês) podem ser encontradas aqui.
