Microsoft warnt vor Game-Repacks mit angehängtem Trojaner

Bitcoin Miner verbreitet sich per Filesharing

| Redakteur: Stephan Augsten

Der Trojaner Maener.A verbreitet sich momentan vermehrt über sogenannte Game Repacks.
Der Trojaner Maener.A verbreitet sich momentan vermehrt über sogenannte Game Repacks. (Bild: Microsoft)

Filesharing- und Download-Portale sind seit jeher beliebte Virenschleudern, da sich Inhalte rasant ausbreiten. Nun lässt sich im wahrsten Sinne des Wortes Kapital daraus schlagen, dass manche Gamer nicht bereit sind, für PC-Spiele zu bezahlen: Cyber-Kriminelle haben Bitcoin-Miner in etlichen gepackten Spiele-Downloads versteckt, warnt Microsoft.

Wer Spiele über Filesharing-Plattformen herunterlädt, macht sich in vielen Fällen nicht nur strafbar, er holt sich auch oft Probleme ins Haus (beziehungsweise auf den PC). Insbesondere gilt das beim Download von sogenannten Re-Packs. Diese komprimierten Dateien verfügen in der Regel über einen eigenen Installer und versprechen gerne kostenlose Erweiterungen.

Momentan ist der Trojaner Maener.A vornehmlich in Russland aktiv, immer öfter finden sich auch englischsprachige Varianten.
Momentan ist der Trojaner Maener.A vornehmlich in Russland aktiv, immer öfter finden sich auch englischsprachige Varianten. (Bild: Microsoft)

Das Problem dieser komprimierten Archive ist, dass für sie keine eindeutig verifizierbare Prüfsumme (Hashwert) existiert. Somit lässt sich nicht sicherstellen, dass man wirklich die originalen Dateien herunterlädt. Für Malware-Autoren ist es somit ein leichtes, Schadcode unters Volk zu bringen.

Momentan machen sich einige Cyber-Kriminelle die Geiz-ist-geil-Mentalität der Filesharer zunutze, um sogenannte Bitcoin-Miner zu verteilen. Diese nutzen die Grafik- und Rechenleistung des infizierten Systems, um die Krypto-Währung zu generieren (Mining = Schürfen). Ein Bitcoin Miner allein kommt dabei nicht weit, erfolgversprechender ist eine Masseninfektion leistungsoptimierter Gaming-PCs.

Der als Repack-Installer getarnte Trojaner Maener.A verwendet entsprechende Techniken. Momentan kursieren nur englisch- und russischsprachige Varianten des Trojaners, erklärt Microsoft in einem Technet-Beitrag. Der Software-Hersteller hat bereits einige populäre Torrent-Dateien identifiziert, die mit dem Trojaner infiziert sind, als da wären:

  • Tom Clancy's Ghost Recon.Future Soldier.Deluxe Edition.v 1.7 + 3 DLC.(Новый Диск).(2012).Repack
  • Don't Starve.(2013) [Decepticon] RePack
  • Kings Bounty Dark Side by xatab
  • Sniper_Elite_III_8_DLC_RePack_MAXAGENT
  • TROPICO_5
  • Ghost_Recon_Future_Soldier_v1.8_Repack
  • Trials.Fusion.RePack.R.G.Freedom
  • King's Bounty Dark Side.(2014) [Decepticon] RePack
  • Watch Dogs.(2014) [Decepticon] RePack

Wird der Installer (in der Regel „setup.exe“) ausgeführt, startet im Hintergrund auch Maener.A als Prozess mit dem Namen „ActivateDesktop.exe“. Der Trojaner verbindet sich dann mit einem Remote-Server im Internet und lädt seine Bitcoin-Mining-Komponenten nach. Der Bitcoin Miner wird anschließend als Datei „connost.exe“ oder „minerd.exe“ auf dem System installiert.

In der Registry wird ein Autostart-Eintrag angelegt, mit dessen Hilfe man eine Infektion erkennen kann:

HKCU\Software\Microsoft\CurrentVersion\RunGoogleUpdate_CF4A51A46014ACCDC56E3A64BAC64B76 = c:\Trash-100\ActivateDesktop.exe

Eine Antivirus-Software kann bereits vor der Infektion schützen – noch schlauer wäre es allerdings, gar nicht erst illegale Inhalte über Filesharing-Plattformen oder aus dem Internet herunterzuladen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42965577 / Malware)