如果您最近在您Mac上下载了流行的开源视频代码转换器应用HandBrake，那您的计算机可能会感染知名的远程访问木马（RAT）。如果您下载的时间是在2017年5月2日至6日，你的Mac电脑有50%的几率感染Proton木马。

HandBrake官方发布安全通告 并暂时关闭受影响的服务器

HandBrake团队周六发布了安全通告，警告Mac用户说，黑客入侵了其中一个用于软件下载的镜像服务器。HandBrake团队表示，未知黑客或黑客组织入侵了用于下载的镜像服务器（download.handbrake.fr），并将HandBrake客户端的Mac版本（HandBrake-1.0.7.dmg）替换为感染了Proton新变种的恶意版本。

Proton最早是在2月在俄罗斯的一个地下黑色论坛发现的，Proton是一个基于Mac的远程访问木马，为攻击者提供受感染系统的Root访问权限。

出于调查目的，受影响的服务器已关闭。HandBrake团队警告说，若2017年5月2日至6日期间在Mac上下载HandBrake，这些Mac均有50%的几率感染Proton。

HandBrake是什么

如果您不了解，我们在这里提一下，HandBrake是一款开源视频代码转换器应用，可使Mac用户转换多媒体文件格式。可直接将 DVD 电影内转换成 AVI/MPEG4 格式,还有 MP4 及 OGM 输出、AAC 及 Vorbis 编码.HandBrake 能转换被加密的(encrypted)DVD,

如何确定是否已感染？

HandBrake团队为不太熟悉技术的用户提供了感染检查指南。打开OSX活动监视器应用，若存在名为Activity_agent的进程，说明已经感染了该木马。

此外，还可检查哈希值，确定所下载的软件是否为恶意软件或已被破坏。 感染该木马的应用具有以下哈希值：

• SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
• SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793

若安装了具备以上校验和的HandBrake.dmg，说明您已感染了该木马。

如何删除Proton RAT？

HandBrake开发人员也为Mac受害用户提供了删除指南。若从Mac上删除Proton RAT，请按以下提示操作：

• 步骤1 打开“Terminal”应用，执行以下命令：
  • launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
  • rm -rf ~/Library/RenderFiles/activity_agent.app
• 步骤2 若~/Library/VideoFrameworks/中存在proton.zip，则删除该文件夹。
• 步骤3 卸载安装的所有Handbrake.app。

此外，还需采取额外措施，打开设置，更改OS X KeyChain中存储的所有密码或浏览器中保存的所有密码。

同时，Mac用户若已更新至HandBrake 1.0或更高版本则不受影响。因为这些用户已采用DSA签名验证下载的文件，这样感染恶意软件的版本无法通过DSA验证流程。

原文发布时间：2017年5月10日 

本文由：HackerNews 发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/proton-***-hacked-handbrake-server

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站