Bitcoin Miner verbreitet sich per Filesharing

Filesharing- und Download-Portale sind seit jeher beliebte Virenschleudern, da sich Inhalte rasant ausbreiten. Nun lässt sich im wahrsten Sinne des Wortes Kapital daraus schlagen, dass manche Gamer nicht bereit sind, für PC-Spiele zu bezahlen: Cyber-Kriminelle haben Bitcoin-Miner in etlichen gepackten Spiele-Downloads versteckt, warnt Microsoft.

Wer Spiele über Filesharing-Plattformen herunterlädt, macht sich in vielen Fällen nicht nur strafbar, er holt sich auch oft Probleme ins Haus (beziehungsweise auf den PC). Insbesondere gilt das beim Download von sogenannten Re-Packs. Diese komprimierten Dateien verfügen in der Regel über einen eigenen Installer und versprechen gerne kostenlose Erweiterungen.

Das Problem dieser komprimierten Archive ist, dass für sie keine eindeutig verifizierbare Prüfsumme (Hashwert) existiert. Somit lässt sich nicht sicherstellen, dass man wirklich die originalen Dateien herunterlädt. Für Malware-Autoren ist es somit ein leichtes, Schadcode unters Volk zu bringen.

Momentan machen sich einige Cyber-Kriminelle die Geiz-ist-geil-Mentalität der Filesharer zunutze, um sogenannte Bitcoin-Miner zu verteilen. Diese nutzen die Grafik- und Rechenleistung des infizierten Systems, um die Krypto-Währung zu generieren (Mining = Schürfen). Ein Bitcoin Miner allein kommt dabei nicht weit, erfolgversprechender ist eine Masseninfektion leistungsoptimierter Gaming-PCs.

Der als Repack-Installer getarnte Trojaner Maener.A verwendet entsprechende Techniken. Momentan kursieren nur englisch- und russischsprachige Varianten des Trojaners, erklärt Microsoft in einem Technet-Beitrag. Der Software-Hersteller hat bereits einige populäre Torrent-Dateien identifiziert, die mit dem Trojaner infiziert sind, als da wären:

• Tom Clancy's Ghost Recon.Future Soldier.Deluxe Edition.v 1.7 + 3 DLC.(Новый Диск).(2012).Repack
• Don't Starve.(2013) [Decepticon] RePack
• Kings Bounty Dark Side by xatab
• Sniper_Elite_III_8_DLC_RePack_MAXAGENT
• TROPICO_5
• Ghost_Recon_Future_Soldier_v1.8_Repack
• Trials.Fusion.RePack.R.G.Freedom
• King's Bounty Dark Side.(2014) [Decepticon] RePack
• Watch Dogs.(2014) [Decepticon] RePack

Wird der Installer (in der Regel „setup.exe“) ausgeführt, startet im Hintergrund auch Maener.A als Prozess mit dem Namen „ActivateDesktop.exe“. Der Trojaner verbindet sich dann mit einem Remote-Server im Internet und lädt seine Bitcoin-Mining-Komponenten nach. Der Bitcoin Miner wird anschließend als Datei „connost.exe“ oder „minerd.exe“ auf dem System installiert.

In der Registry wird ein Autostart-Eintrag angelegt, mit dessen Hilfe man eine Infektion erkennen kann:

HKCU\Software\Microsoft\CurrentVersion\RunGoogleUpdate_CF4A51A46014ACCDC56E3A64BAC64B76 = c:\Trash-100\ActivateDesktop.exe

Eine Antivirus-Software kann bereits vor der Infektion schützen – noch schlauer wäre es allerdings, gar nicht erst illegale Inhalte über Filesharing-Plattformen oder aus dem Internet herunterzuladen.