O freio de mão tem um vírus?

Resumo:

Recentemente, houve relatos de freio de mão ser sinalizado como um vírus pelo Windows Defender. No entanto, este é um falso positivo, e a equipe do Handbrake confirmou que não é um vírus. Parece ser um caso do software antivírus identificando mal o freio de mão como adware. O problema está sendo investigado atualmente e, enquanto isso, os usuários podem enviar o arquivo ao Windows Defender para ajudar a resolver o problema mais cedo.

Pontos chave:

1. O zagueiro Win10 detecta erroneamente o freio de mão como um vírus na última construção noturna.
2. O item detectado é rotulado como Trojan: Win32/ZPevdo.B no freio de mão.Trabalhador.arquivo exe.
3. Versão atual afetada: não especificado.
4. Sistema operacional: Win10, totalmente remendado.
5. Nenhum texto de mensagem de erro ou captura de tela fornecida.
6. Registro de atividades do freio de mão necessária para apoio adicional.

Perguntas e respostas:

1. P: O freio de mão está realmente infectado com um vírus?

R: Não, o próprio freio de mão não contém vírus. Os relatórios de vírus são falsos positivos causados ​​pela identificação incorreta do Defender do Windows.

2. P: Qual é o vírus específico que o freio de mão está sendo detectado como?

A: Windows Defender o rotula como Trojan: Win32/ZPevdo.B.

3. P: Qual é a versão atual do freio de mão afetado por este problema?

R: A versão específica não é mencionada nas informações fornecidas.

4. P: Qual sistema operacional está experimentando a detecção de vírus?

R: O problema de detecção está ocorrendo no Windows 10, totalmente corrigido.

5. P: Você pode fornecer a mensagem de erro exata ou uma captura de tela da detecção?

R: Infelizmente, nenhum texto ou captura de tela de mensagem de erro está incluído no artigo.

6. P: O que devo fazer se o Windows Defender detectar o freio de mão como um vírus?

R: Se possível, você pode enviar o arquivo ao Windows Defender para ajudá -los a resolver o problema mais rápido. Isso pode ser feito através do próprio software antivírus.

7. P: Existem soluções antivírus alternativas que não detectam o freio de mão como um vírus?

R: Não é mencionado no artigo se outro software antivírus também detectar o freio de mão como um vírus. No entanto, é recomendável manter seu software antivírus atualizado, independentemente.

8. P: Existe alguma declaração oficial da Handbrake sobre esta detecção de vírus?

R: Nenhuma declaração oficial é mencionada no artigo. No entanto, é provável que a equipe do Handbrake esteja ciente do problema e do trabalho para resolvê -lo.

9. P: Quanto tempo levará para os fornecedores de antivírus consertar essa identificação errônea?

R: Normalmente leva alguns dias para os fornecedores antivírus atualizarem suas regras e reconhecer a reputação do arquivo.

10. P: Devo estar preocupado com a detecção de vírus se eu já baixei o Handbrake?

R: A detecção de vírus é um falso positivo, então não há necessidade de se preocupar se você já baixou o freio de mão. No entanto, é sempre recomendável ter um software antivírus atualizado instalado.

Conclusão:

Apesar dos relatos de freio de mão ser sinalizado como um vírus, é confirmado que é um falso positivo. O Defender do Windows identifica erroneamente o freio de mão como Trojan: Win32/ZPevdo.B, mas não é um vírus. Recomenda -se enviar o arquivo ao Windows Defender e manter o software antivírus atualizado. A equipe do Handbrake está ciente do problema e trabalhando para resolvê -lo.

O freio de mão tem um vírus

Para limpar a infecção do seu Mac, navegue até as seguintes pastas e lixo os seguintes arquivos:

FYI Win10 Defender Detecta o vírus da última construção noturna. #3574

FYI: Win10 Defender Detecta o vírus da última construção noturna.

Detectado: Trojan: Win32/ZPevdo.B
Itens afetados: Handbrake-20210504-2fd9617d7_x86_64-win_gui.MSI-> Produto.CAB-> Handbrake.Trabalhador.exe

Versão do Handbrake (E.g., 1.3.0):

Sistema operacional e versão (e.g., Ubuntu 19.10, MacOS 10.15 Catalina, Windows 10 1909):

Win10 totalmente remendado.

Texto da mensagem de erro e/ou captura de tela:

Forneça qualquer mensagem de erro ou capturas de tela que possam ajudar.

Log de atividades do Handbrake:

Um registro de atividade é necessário para o suporte. Por favor, leia https: // handbrake.fr/docs/pt/mais recente/ajuda/atividade de atividade.HTML para mais informações.

Substitua este texto pelo log de atividades ou faça o upload do arquivo de log no GitHub arrastando e soltando o arquivo nesta postagem. Deixe as ~ marcas acima e abaixo. 

O texto foi atualizado com sucesso, mas esses erros foram encontrados:

Contribuinte

SR55 Comentado em 8 de maio de 2021 •

É realmente um falso positivo. Não muito podemos fazer sobre isso. Sempre que uma nova construção aparecer, ele levará cada fornecedor que tem essas regras alguns dias para criar reputação pelo arquivo.

É interessante que esteja detectando -o como adware, em vez de um vírus real. Isso sugeriria que sua regra de adware está realmente quebrada de alguma forma.

Se o Defender tiver a opção de enviar o arquivo, você poderá fazê -lo, pois ele pode ajudá -los a corrigir o problema mais cedo.

O freio de mão tem um vírus

O Reddit e seus parceiros usam cookies e tecnologias semelhantes para proporcionar uma experiência melhor.

Ao aceitar todos os cookies, você concorda com o uso de cookies para fornecer e manter nossos serviços e site, melhorar a qualidade do Reddit, personalizar o conteúdo e publicidade do Reddit e medir a eficácia da publicidade.

Ao rejeitar cookies não essenciais, o Reddit ainda pode usar certos cookies para garantir a funcionalidade adequada de nossa plataforma.

Para mais informações, consulte nosso aviso de cookie e nossa política de privacidade .

Handbrake’S Servidor comprometido, Download instala o complexo Trojan

Handbrake, um popular codificador de vídeo de código aberto, publicado em seus fóruns neste fim de semana dizendo que seu servidor de download de espelho estava comprometido. Qualquer pessoa que baixasse o Handbrake entre 2 de maio e 6 de maio potencialmente pegou uma versão que foi infectada com malware. Intego VirusBarrier Anti-Virus identifica e erradica esse malware como OSX/PROTON.B.

Qual é o vetor de infecção?

Somente aqueles que baixaram o Handbrake de seu servidor Mirror (download.Handbrake.fr) recebeu a aplicação maliciosa. Não foi distribuído em nenhum outro sites.

Como o Proton instala?

O aplicativo de freio de mão chega em um .arquivo dmg como esperado e, ao abrir o arquivo, nada suspeito pode ser visto. O usuário arrastará o Handbrake para sua pasta de aplicativos e o iniciará.

Neste ponto, o aplicativo faz algo incomum, que imediatamente se destacará a usuários de freio de mão de longa data: ele pede privilégios de administrador. Sob o disfarce de precisar instalar codecs adicionais, uma carga útil maliciosa é instalada.

Depois que a senha for inserida, o Handbrake será lançado e parece ser um negócio como sempre. No fundo, no entanto, um backdoor foi instalado, nomeado “Atividade_agent.” O backdoor foi observado em contato com 85.17.25.66, que é o endereço IP que hospeda o site do Handbrake. O servidor comprometido também poderia ter sido usado como servidor de comando e controle (C&C).

O Application Activity_agents de Backdoor é colocado em Usuários > *seu usuário* > Biblioteca > Renderfiles, e é mantido vivo através de reinicializações com um lancegent simples.

Os dados do chaveiro, os dados do formulário armazenados Safari e os cookies de safári são coletados, compactados e armazenados no sistema para fazer o upload posterior. O Actitivity_AGent não parece fazer upload ou baixar dados durante nossos testes. Google Chrome, Firefox, Opera e provavelmente outros navegadores são invadidos por informações confidenciais.

Os usuários de Mac devem estar preocupados com o Proton?

A carga útil maliciosa é executada em qualquer Mac com OS X 10.7 ou mais recente.

No momento da redação deste artigo, o malware não parece capaz de enviar os dados sensíveis do usuário ao seu servidor, mas devemos assumir que ele o fez com sucesso no período de 2 a 6 de maio. Handbrake oferece os seguintes conselhos em seu post no fórum:

Com base nas informações que temos, você também deve alterar todas as senhas que podem residir em seu chaveiro do OSX ou em qualquer um navegador de lojas de senha.

Bons conselhos, visto que todos os nomes armazenados, senhas, dados de formulário e muito mais, agora podem estar nas mãos dos bandidos.

A Handbrake notificou a Apple, que no final da tarde adicionou a assinatura ao seu banco de dados XProtect como OSX.Proton.B. Infelizmente, mesmo com a mais recente atualização do XProtect, o Proton ainda foi instalado e correu bem, embora alguns outros pesquisadores tenham relatado que o XProtect de fato impediu o DMG de ser aberto. No entanto, sem um servidor para descarregar seus dados coletados, atualmente não é uma grande ameaça.

O que é preocupante, no entanto, é a maneira como os atacantes fizeram isso. Assim como na transmissão, não uma, mas duas vezes, o servidor de download foi comprometido e o aplicativo disponível para download foi substituído por um malicioso. Ir para os servidores, que normalmente não são atualizados ou corrigidos com a frequência que deveriam ser, resultará em menos usuários baixando seu malware, mas o fato de que ele vem de uma fonte confiável fará com que esses usuários não suspeitas. Se um usuário não suspeitar, eles ganharam’eu vou procurar malware, e malware que não é detectado por mais tempo é tipicamente mais bem -sucedido.

Se isso se tornar uma tendência, e mesmo os servidores da fonte confiável não podem mais ser confiáveis, podemos muito bem estar com problemas.

Uma maneira de verificar se o arquivo que você baixou é o verdadeiro negócio é comparando verificações. Em Handbrake’S Caso, eles mantêm uma página que lista todas as somas de cheques para downloads disponíveis, para que qualquer pessoa possa verificar se o download está comprometido. Na realidade, muito poucas pessoas realmente fazem isso, e muitos sites que distribuem o software Don’até oferecer essas somas de cheques para você verificar. A Apple costumava oferecer essas somas de cheques em sua página de downloads, mas desde então parou de fazê -lo também.

Para sites que oferecem essas somas de cheques, a verificação é fácil. Abra a aplicação do terminal (Aplicações> Utilitários) e digite o seguinte (inclua um espaço no final):

OpenSSL SHA1

Agora, basta arrastar e soltar o arquivo baixado na janela do terminal e pressionar Enter. No caso do download malicioso de freio de mão, este é o resultado:

Intego $ OpenSSL SHA1/Usuários/Intego/Desktop/Handbrake-1.0.7.DMG SHA1 (/Usuários/Intego/Desktop/Handbrake-1.0.7.dmg) = 0935A43CA90C6C419A49E4F8F1D75E68CD70B274

De acordo com o site da Handbrake, a soma de verificação sha1 para este download deve ser “75C6204D7BD7D9C6E5B1FEDB56697E2F3857789,” Eles claramente não combinam. Se algum usuário foi infectado com próton através do Handbrake, eles não executaram essa verificação de segurança simples.

Como saber se o seu Mac está infectado (e instruções de remoção)

Monitor de atividades abertas e procure um processo nomeado “Atividade_agent.” Se esse processo estiver em execução, seu Mac está infectado.

Clique no processo e feche -o com o botão X na barra de menus.

Para limpar a infecção do seu Mac, navegue até as seguintes pastas e lixo os seguintes arquivos:

• Formulários – Exclua o aplicativo de freio de mão.
• Usuários >*você* >Biblioteca >Videoframeworks – Exclua esta pasta e tudo nela
• Usuários >*você* >Biblioteca >Renderfiles – Exclua o aplicativo Activity_Agent
• Usuários >*você* >Biblioteca >Launchagents – Exclua “fr.Handbrake.Atividade_agent.Plist” e “fr.Handbrake.Atividade_agent.Plist-e“
• Usuários >*você* >Biblioteca >Caches >fr.Handbrake.Atividade_agent – Exclua a pasta

Com esses arquivos excluídos, esvazie o lixo e reinicie seu mac. Verifique novamente os mesmos locais novamente após o reinício para garantir que a infecção seja realmente limpa. Se um aviso mostrar que alguns itens não podem ser excluídos, porque eles estão em uso, você’Será capaz de esvaziar o lixo após o reinício.

Para intego’S MAC ANTI-VIRUS CLIENTES, a proteção vem na forma de definições atualizadas de malware, que detectarão e removerão todos os arquivos de prótons. Os componentes de prótons são detectados por intego vírusbarrier como OSX/PROTON.B.

Como se proteger do próton

Quando o servidor oficial da fonte confiável foi comprometido e o malware é codificado para agir como o aplicativo real, há muito pouco para avisar que algo está errado. Verificar seus downloads será a única maneira de ter certeza de que o download não foi comprometido. Usando o atualizador interno, se um aplicativo fornecer um, normalmente é a melhor maneira de receber atualizações para um aplicativo.

Ainda há muito a ser descoberto sobre Proton.B como é muito mais complexo do que parece. Este malware ainda está sob investigação e, à medida que surgem novos detalhes, atualizaremos esta história.

Compartilhar isso:

Sobre Jay Vrijenhoek

Jay Vrijenhoek é um consultor de TI com paixão pela pesquisa de segurança do Mac. Veja todas as postagens de Jay Vrijenhoek → Esta entrada foi publicada em malware e marca de mão marcada, OSX/Proton.B, Proton. Marcar como favorito o link permanente.

Handbrake for Mac acabou de ter um breve mas sério problema de malware

O Programa de Handbrake de Transcoder de Vídeo de código aberto e, mais especificamente, sua versão Mac, teve uma falha de segurança séria na semana passada. Embora já tenha sido corrigido, qualquer pessoa que baixasse e instalou o software entre 2 de maio e 6 de maio deve procurar verificar se seu sistema não está infectado com um Trojan desagradável.

Embora a Apple’s ’O marketing da era da 00S sugeriu que sua plataforma era essencialmente livre de vírus, hoje que’não é realmente o caso. Handbrake é o exemplo mais recente disso, embora pareça que os desenvolvedores responderam rapidamente e, desde então, esclareceram o problema. Eles’também correspondeu à Apple para ver que o OSX’O recurso S XProtect está ciente do malware e manterá seus olhos automatizados abertos para isso.

Vídeos recomendados

O Trojan entrou na versão legítima de Handbrake através de um servidor de espelho de download infectado. De lá, ele se anexou ao freio de mão 1.0.7 e foi baixado por vários usuários. De acordo com a equipe do Handbrake, cerca de 50 % dos usuários que baixaram o software entre 2 e 6 de maio foram roteados para o servidor infectado.

• MacOS é mais seguro que o Windows? Este relatório de malware tem a resposta
• Este malware Mac pode roubar dados do seu cartão de crédito em segundos
• A Apple acabou de fazer uma grande jogada para ligar seu próximo MacBook

Com isso em mente, a Apple agora está pedindo a todos aqueles que baixaram o software durante esse período para executar alguns cheques para ver se foram afetados. O primeiro passo é cuidar do processo “Atividade_agent.” Se isso’S encontrado em funcionamento, então seu sistema está infectado. Outra maneira é comparar o seu download’s hash de soma de cheque com o listado no post oficial do fórum.

Se isso acontecer. Eles envolvem comandos de terminal em execução, seguidos pela remoção de qualquer freio de mão.Instalações de aplicativos que você tem. Você pode encontrar a lista completa de comandos no fórum de Handbrake vinculado acima.

Infelizmente, porém, você não deveria’T pare por aí. Depois de confirmar a remoção do malware, você precisa alterar suas senhas. Uma das tarefas que o Trojan executa é o roubo de senha; portanto, quaisquer senhas que você possa ter usado, pois instalou o freio de mão deve ser alterado, bem como qualquer um que reside em seu chaveiro OSX e qualquer um armazenado no navegador.

Pode ser uma dor no pescoço, mas’é um passo importante para mitigar qualquer dano que o malware inspirado em prótons possa causar.

Recomendações dos editores

• Maçã’S os próximos MacBooks e iPads podem estar com sérios problemas
• Chatgpt acabou de criar malware, e isso’é seriamente assustador
• Este aplicativo de fraude desonesto prova que os Macs não estão’T prova de bala
• O Mac Pro foi absolutamente espancado pelo Mac mini
• EU’Estou cansado de esperar a Apple para corrigir esse problema gritante com os jogos Mac