Microsoft warnt vor Game-Repacks mit angehängtem Trojaner Bitcoin Miner verbreitet sich per Filesharing
Filesharing- und Download-Portale sind seit jeher beliebte Virenschleudern, da sich Inhalte rasant ausbreiten. Nun lässt sich im wahrsten Sinne des Wortes Kapital daraus schlagen, dass manche Gamer nicht bereit sind, für PC-Spiele zu bezahlen: Cyber-Kriminelle haben Bitcoin-Miner in etlichen gepackten Spiele-Downloads versteckt, warnt Microsoft.
Anbieter zum Thema

Wer Spiele über Filesharing-Plattformen herunterlädt, macht sich in vielen Fällen nicht nur strafbar, er holt sich auch oft Probleme ins Haus (beziehungsweise auf den PC). Insbesondere gilt das beim Download von sogenannten Re-Packs. Diese komprimierten Dateien verfügen in der Regel über einen eigenen Installer und versprechen gerne kostenlose Erweiterungen.
Momentan machen sich einige Cyber-Kriminelle die Geiz-ist-geil-Mentalität der Filesharer zunutze, um sogenannte Bitcoin-Miner zu verteilen. Diese nutzen die Grafik- und Rechenleistung des infizierten Systems, um die Krypto-Währung zu generieren (Mining = Schürfen). Ein Bitcoin Miner allein kommt dabei nicht weit, erfolgversprechender ist eine Masseninfektion leistungsoptimierter Gaming-PCs.
Der als Repack-Installer getarnte Trojaner Maener.A verwendet entsprechende Techniken. Momentan kursieren nur englisch- und russischsprachige Varianten des Trojaners, erklärt Microsoft in einem Technet-Beitrag. Der Software-Hersteller hat bereits einige populäre Torrent-Dateien identifiziert, die mit dem Trojaner infiziert sind, als da wären:
- Tom Clancy's Ghost Recon.Future Soldier.Deluxe Edition.v 1.7 + 3 DLC.(Новый Диск).(2012).Repack
- Don't Starve.(2013) [Decepticon] RePack
- Kings Bounty Dark Side by xatab
- Sniper_Elite_III_8_DLC_RePack_MAXAGENT
- TROPICO_5
- Ghost_Recon_Future_Soldier_v1.8_Repack
- Trials.Fusion.RePack.R.G.Freedom
- King's Bounty Dark Side.(2014) [Decepticon] RePack
- Watch Dogs.(2014) [Decepticon] RePack
Wird der Installer (in der Regel „setup.exe“) ausgeführt, startet im Hintergrund auch Maener.A als Prozess mit dem Namen „ActivateDesktop.exe“. Der Trojaner verbindet sich dann mit einem Remote-Server im Internet und lädt seine Bitcoin-Mining-Komponenten nach. Der Bitcoin Miner wird anschließend als Datei „connost.exe“ oder „minerd.exe“ auf dem System installiert.
In der Registry wird ein Autostart-Eintrag angelegt, mit dessen Hilfe man eine Infektion erkennen kann:
HKCU\Software\Microsoft\CurrentVersion\RunGoogleUpdate_CF4A51A46014ACCDC56E3A64BAC64B76 = c:\Trash-100\ActivateDesktop.exe
Eine Antivirus-Software kann bereits vor der Infektion schützen – noch schlauer wäre es allerdings, gar nicht erst illegale Inhalte über Filesharing-Plattformen oder aus dem Internet herunterzuladen.
(ID:42965577)