Sabino Maggi
Più che un post questa è una vera e propria comunicazione di servizio.
Gli sviluppatori di HandBrake, quello che è probabilmente il miglior convertitore video per il Mac (e non solo), si sono accorti che uno dei loro server è stato compromesso e che le copie di HandBrake scaricate fra il 2 e il 6 maggio potrebbero contenere un cavallo di Troia (trojan horse), cioè un codice maligno capace ad esempio di intercettare quello che si scrive con la tastiera o, nei casi estremi, persino di prendere il controllo del Mac.
Controllare HandBrake
Chi avesse scaricato ed installato HandBrake nei giorni critici deve controllare che che in Monitoraggio attività non compaia il processo activity_agent e che il checksum del file HandBrake-1.0.7.dmg non corrisponda a quelli riportati qui.
Ricordo che il programma Monitoraggio Attività si trova nella cartella Applicazioni > Utility, mentre per calcolare il checksum del file HandBrake-1.0.7.dmg (che supponiamo sia nella cartella Downloads) basta lanciare il Terminale (si trova anch’esso in Applicazioni > Utility) ed eseguire i comandi
$ cd Downloads
$ shasum -a 1 HandBrake-1.0.7.dmg && shasum -a 256 HandBrake-1.0.7.dmg
L’esecuzione del comando shasum su una copia legittima di HandBrake produce in risposta
6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9 HandBrake-1.0.7.dmg
3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2 HandBrake-1.0.7.dmg
mentre le copie maligne di HandBrake riportano dei valori completamente diversi.
Rimuovere HandBrake
Per rimuovere la versione corrotta di HandBrake insieme al suo trojan, bisogna eseguire dal Terminale i comandi seguenti (esattamente come sono scritti!):
$ launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
$ rm -rf ~/Library/RenderFiles/activity_agent.app
Inoltre, se il comando
$ ls -al ~/Library/VideoFrameworks/
riporta l’esistenza di un file proton.zip, bisogna rimuovere anche questo file insieme alla cartella che lo contiene con
$ rm -rf ~/Library/VideoFrameworks/
Fatto questo si può rimuovere HandBrake dal Mac trascinando l’icona dell’applicazione nel cestino oppure usando un programma di disinstallazione come AppCleaner o simili.
È opportuno anche riavviare il Mac, in modo da essere sicuri di rimuovere il programma activity_agent dalla memoria.
Infine, per maggiore sicurezza gli sviluppatori di HandBrake consigliano anche di modificare tutte le password salvate nel Portachiavi del Mac o nel browser. E questa è veramente una bella, grossa, seccatura!
Purtroppo sembra non ci sia più nessun freno (nemmeno a mano) a questa ondata di malware per il Mac.