Vier Schritte sind nötig, um die Infektion zu beseitigen:
- launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
- rm -rf ~/Library/RenderFiles/activity_agent.app
- Drittens muss man den Ordner ~/Library/VideoFrameworks/ entfernen, wenn darin die Datei proton.zip enthalten ist.
- 4. Sollte man alle Kennwörter ändern, die im Keychain von macOS X und in den verwendeten Browsern gespeichert sind
Sofern der Prozess activity_agent nicht läuft, ist man nicht infiziert. Ältere Downloads und über die Update-Funktion aktualisierte Versionen sind nicht betroffen, weil lediglich einer von mehreren Download-Servern angegriffen wurde.
Apple wurde informiert und wird seine Sicherheitseinstellungen anpassen.
[ handbrake.fr, macrumors.com, heise.de ]