Filesharing- und Download-Portale sind seit jeher beliebte Virenschleudern, da sich Inhalte rasant ausbreiten. Nun lässt sich im wahrsten Sinne des Wortes Kapital daraus schlagen, dass manche Gamer nicht bereit sind, für PC-Spiele zu bezahlen: Cyber-Kriminelle haben Bitcoin-Miner in etlichen gepackten Spiele-Downloads versteckt, warnt Microsoft.
Der Trojaner Maener.A verbreitet sich momentan vermehrt über sogenannte Game Repacks.
(Bild: Microsoft)
Wer Spiele über Filesharing-Plattformen herunterlädt, macht sich in vielen Fällen nicht nur strafbar, er holt sich auch oft Probleme ins Haus (beziehungsweise auf den PC). Insbesondere gilt das beim Download von sogenannten Re-Packs. Diese komprimierten Dateien verfügen in der Regel über einen eigenen Installer und versprechen gerne kostenlose Erweiterungen.
Momentan ist der Trojaner Maener.A vornehmlich in Russland aktiv, immer öfter finden sich auch englischsprachige Varianten.
(Bild: Microsoft)
Das Problem dieser komprimierten Archive ist, dass für sie keine eindeutig verifizierbare Prüfsumme (Hashwert) existiert. Somit lässt sich nicht sicherstellen, dass man wirklich die originalen Dateien herunterlädt. Für Malware-Autoren ist es somit ein leichtes, Schadcode unters Volk zu bringen.
Momentan machen sich einige Cyber-Kriminelle die Geiz-ist-geil-Mentalität der Filesharer zunutze, um sogenannte Bitcoin-Miner zu verteilen. Diese nutzen die Grafik- und Rechenleistung des infizierten Systems, um die Krypto-Währung zu generieren (Mining = Schürfen). Ein Bitcoin Miner allein kommt dabei nicht weit, erfolgversprechender ist eine Masseninfektion leistungsoptimierter Gaming-PCs.
Der als Repack-Installer getarnte Trojaner Maener.A verwendet entsprechende Techniken. Momentan kursieren nur englisch- und russischsprachige Varianten des Trojaners, erklärt Microsoft in einem Technet-Beitrag. Der Software-Hersteller hat bereits einige populäre Torrent-Dateien identifiziert, die mit dem Trojaner infiziert sind, als da wären:
King's Bounty Dark Side.(2014) [Decepticon] RePack
Watch Dogs.(2014) [Decepticon] RePack
Wird der Installer (in der Regel „setup.exe“) ausgeführt, startet im Hintergrund auch Maener.A als Prozess mit dem Namen „ActivateDesktop.exe“. Der Trojaner verbindet sich dann mit einem Remote-Server im Internet und lädt seine Bitcoin-Mining-Komponenten nach. Der Bitcoin Miner wird anschließend als Datei „connost.exe“ oder „minerd.exe“ auf dem System installiert.
In der Registry wird ein Autostart-Eintrag angelegt, mit dessen Hilfe man eine Infektion erkennen kann:
Eine Antivirus-Software kann bereits vor der Infektion schützen – noch schlauer wäre es allerdings, gar nicht erst illegale Inhalte über Filesharing-Plattformen oder aus dem Internet herunterzuladen.
Aufklappen für Details zu Ihrer Einwilligung
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.