https://static.233.196.69.159.clients.your-server.de/it/tags/trojan-horse/ Recent content in Trojan Horse on Melabit Hugo it Tue, 09 May 2017 19:00:00 +0000 https://static.233.196.69.159.clients.your-server.de/it/2017/05/09/attenti-ad-handbrake/ Tue, 09 May 2017 19:00:00 +0000 https://static.233.196.69.159.clients.your-server.de/it/2017/05/09/attenti-ad-handbrake/ <img src="https://c1.staticflickr.com/6/5722/21133307556_7f9c4fccd8_z.jpg" alt=""><p>Più che un post questa è una vera e propria comunicazione di servizio.</p> <p>Gli sviluppatori di <a href="https://handbrake.fr/">HandBrake</a>, quello che è probabilmente il miglior convertitore video per il Mac (e non solo), si sono accorti che <a href="https://forum.handbrake.fr/viewtopic.php?f=33&amp;t=36364">uno dei loro server è stato compromesso</a> e che le copie di HandBrake scaricate fra il 2 e il 6 maggio potrebbero contenere un <a href="https://it.wikipedia.org/wiki/Trojan_%28informatica%29">cavallo di Troia</a> (<em>trojan horse</em>), cioè un codice maligno capace ad esempio di intercettare quello che si scrive con la tastiera o, nei casi estremi, persino di prendere il controllo del Mac.</p> <h4 id="controllare-handbrake">Controllare HandBrake</h4> <p>Chi avesse scaricato ed installato HandBrake nei giorni <em>critici</em> deve controllare che che in Monitoraggio attività non compaia il processo <code>activity_agent</code> e che il checksum del file <code>HandBrake-1.0.7.dmg</code> non corrisponda a quelli <a href="https://forum.handbrake.fr/viewtopic.php?f=33&amp;t=36364">riportati qui</a>.</p> <p>Ricordo che il programma Monitoraggio Attività si trova nella cartella Applicazioni &gt; Utility, mentre per calcolare il checksum del file <code>HandBrake-1.0.7.dmg</code> (che supponiamo sia nella cartella Downloads) basta lanciare il Terminale (si trova anch&rsquo;esso in Applicazioni &gt; Utility) ed eseguire i comandi</p> <pre><code>$ cd Downloads $ shasum -a 1 HandBrake-1.0.7.dmg &amp;#038;&amp;#038; shasum -a 256 HandBrake-1.0.7.dmg </code></pre> <p>L&rsquo;esecuzione del comando <code>shasum</code> su una copia legittima di HandBrake produce in risposta</p> <pre><code>6d2e5158f101dad94ede3d5cf5fda8fe9fd3c3b9 HandBrake-1.0.7.dmg 3cd2e6228da211349574dcd44a0f67a3c76e5bd54ba8ad61070c21b852ef89e2 HandBrake-1.0.7.dmg </code></pre> <p>mentre le copie maligne di HandBrake riportano dei <a href="https://forum.handbrake.fr/viewtopic.php?f=33&amp;t=36364">valori completamente diversi</a>.</p> <h4 id="rimuovere-handbrake">Rimuovere HandBrake</h4> <p>Per rimuovere la versione corrotta di HandBrake insieme al suo trojan, bisogna eseguire dal Terminale i comandi seguenti (esattamente come sono scritti!):</p> <pre><code>$ launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist $ rm -rf ~/Library/RenderFiles/activity_agent.app </code></pre> <p>Inoltre, se il comando</p> <pre><code>$ ls -al ~/Library/VideoFrameworks/ </code></pre> <p>riporta l&rsquo;esistenza di un file <code>proton.zip</code>, bisogna rimuovere anche questo file insieme alla cartella che lo contiene con</p> <pre><code>$ rm -rf ~/Library/VideoFrameworks/ </code></pre> <p>Fatto questo si può rimuovere HandBrake dal Mac trascinando l&rsquo;icona dell&rsquo;applicazione nel cestino oppure usando un programma di disinstallazione come <a href="https://freemacsoft.net/appcleaner/">AppCleaner</a> o simili.</p> <p>È opportuno anche riavviare il Mac, in modo da essere sicuri di rimuovere il programma <code>activity_agent</code> dalla memoria.</p> <p>Infine, per maggiore sicurezza gli sviluppatori di HandBrake consigliano anche di modificare <strong>tutte</strong> le password salvate nel Portachiavi del Mac o nel browser. E questa è veramente una bella, grossa, seccatura!</p> <p>Purtroppo sembra non ci sia più nessun freno (nemmeno a mano) a questa ondata di malware per il Mac.</p>