동영상 인코더 HandBreak 트로이 목마 바이러스 감염 - 사용자 확인 요망

오픈소스 동영상 인코딩 프로그램으로 많은 사랑을 받고 있는 HandBreak가 PROTON.B 라고 명명된 트로이 목마에 감염된 사실이 발견되어 최근에 해당 앱을 설치한 사용자들의 주의가 요망됩니다. 

HandBreak는 오늘 자사 홈페이지를 통해, 이와 같은 사실을 공지하고 있는데요.. 문제가 되는 버전은 한국시각으로 2017년 5월 3일부터 5월 7일 기간에  .dmg 파일을 내려 받아 mac에 설치한 경우 입니다. 

PROTON.B 트로이 목마에 감염되었는지의 여부를 확인할 수 있는 방법은 "활성 상태 보기" 앱으로 "Activity_agent"라는 이름의 프로세스가 실행 중인지의 여부 입니다. 

위의 사샷과 같이 "활동 상태 보기" 앱을 실행 후, 검색 창에서 "Activity_agent"를 검색했을 때, 해당 Process가 실행 중이라면 감염이 된 것입니다.  

감염이 확인 되었다면, 해당 process를 선택하고, 아래와 같이 "프로세스 강제 종료" 버튼을 눌러 종료 시켜 줍니다. 

다음으로, "터미널" 앱을 실행한 후, 아래의 명령을 순차적으로 실행해 줍니다. 

launchctl unload ~/Library/LaunchAgents/fr.handbreak.activity_agent.plist

rm -rf ~/Library/RenderFiles/activity_agent.app

rm -Rf ~/Library/VideoFramwrowks

마지막으로 설치된 HandBreak 앱을 삭제합니다. 

PROTON.B 트로이 목마가 어떤 동작을 하는지는 아직 명확히 알려져 있지는 않지만, root 권한으로 코드를 실행, Key 입력 로깅, 카메라 촬영,  VNC를 통한 원격 제어등을 할 수 있을 것으로 예상됩니다. 

Apple 에서도 발 빠른 조치를 취하고 있는데요, 애플은 확인된 직 후, XProtect를 업데이트(2091) 하고, 해당 프로세스의 실행을 차단하도록 조치를 취했습니다.  다만, XProtect 업데이트는 인터넷이 연결된 상황에서 업데이트 되는 것이기 때문에, 사용 환경에 따라 적절한 차단이 되지 않을 수도 있습니다.  아래는 Critical Updates 앱으로 확인한 스샷으로 XProtect가 오늘 자로 업데이트 되어 있는 것을 확인할 수 있습니다.