人類とマルウェアの戦いは終わることはありません。
比較的安全だとされるMac向けアプリですが、先週末に有名な動画ファイル変換フリーソフト「HandBrake」のMac版にて、マルウェア登場の警告が発せられました。皆様もアプリのダウンロード元にはお気をつけください。
MacRumorsが取り上げた開発元の声明によると、ミラーサイトの1つからダウンロード可能だったHandBrakeが、ハッカーによりマルウェアに汚染されていたそうです。汚染が確認されていた期間は5月2日から6日まで。ダウンロードされたアプリの半数が汚染されていたとのことで、最近HandBrakeをダウンロードされた方はぜひ問題がないかをチェックしておきましょう。
マルウェアに汚染されたアプリが発見されたのは「download.handbrake.fr」サーバーに設置されていた「HandBrake-1.0.7.dmg」のインストールファイル。マルウェアは「OSX.PROTON」の亜種で、ハッカーにシステムへのアクセス権限を与えてしまいます。なお、Apple(アップル)は今年2月にマルウェアデータベースのXProtectにOSX.PROTONを登録し、5月6日には今回の亜種も登録していました。このリストのアップデートはほとんどのユーザーへ自動で配信されます。
OSX.PROTON亜種の発見&削除方法は以下の通りです。
OSXのアクティビティモニターで「Activity_agent」というプロセスを発見したら、マルウェアに感染している証拠です。また、あなたがインストールしたHandBrakeのチェックサムが以下の場合にも感染しています。
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
マルウェアの削除にはターミナルを起動し、以下のコマンドを入力してください。
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plistrm -rf ~/Library/RenderFiles/activity_agent.appif ~/Library/VideoFrameworks/ contains proton.zip, remove the folder
そして、インストールされている「HandBrake.app」も削除しましょう。
また念のために、OSXやブラウザのキーチェーンに保存されているパスワードも変更したほうがいいそうです。現時点で配布されているバージョン1.0以降のファイルには問題はないそうですが、アプリのユーザーの方は念のために感染を確認しておきましょうね。
image: HandBrake
source: HandBrake via MacRumors
Rhett Jones - Gizmodo US[原文]
(塚本直樹)
