Heute wird die gamescom 2017 von der Bundeskanzlerin Angela Merkel eröffnet. Zunächst ist nur die Fachpresse zugelassen - ab morgen können auch die Gamer die gamescom 2017 erobern.
Pünktlich zum Start der weltweit größten Spielemesse entdeckten ESET-Forscher eine neue hinterhältige Malware namens Joao, die Gamer weltweit bedroht. Die Malware wird durch gecrackte Aeria Games verteilt, die auf inoffiziellen Webseiten angeboten werden. Die modulare Schadsoftware ist in der Lage, jeden beliebigen weiteren Schadcode herunterzuladen und virtuell auf dem PC des Opfers zu installieren.
Die Malware-Entwickler hinter Joao missbrauchten Massively-Multiplayer Online Role-Playing Games (MMORPGs), die original von Aeria Games veröffentlicht wurden. Zum Zeitpunkt der Erstellung dieses Artikels wurde der Joao Downloader durch das Anime MMORPG Grand Fantasia verteilt, das auf gf.ignitgames[.]to. zum Download bereitstand.
Die ESET-Untersuchungen zeigen, dass man auch einige andere Aeria Games auf gleiche Weise in der Vergangenheit zweckentfremdete. Allerdings gingen die inoffiziellen Webseiten bereits offline oder die bösartigen Downloads sind bereits entfernt.
ESET blockt die Webseite, welche die Joao Malware derzeit verteilen will. Des Weiteren wurde Aeria Games über die Entdeckung informiert.
![kompromittierte Version von Grand Fantasia wie sie via gf.ignitgames[.]to verteilt wird.](https://web-assets.esetstatic.com/wls/2017/08/Figure-1.png)
Abbildung 1: kompromittierte Version von Grand Fantasia wie sie via gf.ignitgames[.]to verteilt wird
Wie funktioniert die Joao Malware?
Die betreffenden Games wurden so modifiziert, dass sie Joaos Hauptkomponenten ausführen können – die schädliche Programmbibliothek mskdbe.dll. Diese erkennt ESET als Win32/Joao.A. Starten User den Gamer Launcher, wird parallel auch Joao aufgerufen.
Mit dem Starten sendet der Joao Downloader zunächst grundlegende Informationen des Computers, wie Gerätename, Version des Betriebssystems und eingeräumte User-Rechte, zum Server des Angreifers. Die Malware achtet darauf, möglichst unentdeckt zu operieren. Solange das Game wie erwartet funktioniert, wird der Spieler auch kein Verdacht schöpfen.
Im Vergleich zum Download einer offiziellen Version eines Aeria Games, liegt der einzige Unterschied in einer zusätzlichen .dll-Datei im Installationsordner des Spiels.
Abbildung 2: Joao Downloader als .dll im Installationsordner des Spiels
Nach dem die Serverkommunikation zustande gekommen ist, entscheidet eine serverseitige Logik, welche zusätzlichen Komponenten auf den kompromittierten PC geladen werden. Die Joao-Komponenten, welche von ESET während der Untersuchungen aufgedeckt wurden, weisen eine Backdoor auf sowie Späh- und DDoS-Optionen.
Ist mein PC davon betroffen? Wie kann ich meinen PC von Joao befreien?
Wer viele Spiele von unterschiedlichen Quellen herunterlädt, muss aufpassen. Folgender Quick-Check bietet sich an: Im Windows-Explorer gibt man im Suchfeld oben rechts “mskdbe.dll“ ein. Beim Erhalt eines Suchergebnisses besteht höchstwahrscheinlich die Gefahr, die Malware Joao heruntergeladen zu haben. Aber selbst wenn die Suchanfrage ergebnislos blieb, könnten die Malware-Entwickler die schädliche Programmbibliothek einfach umbenannt haben.
In dieser Situation ist eine verlässliche Antivirus-Sicherheitslösung auf dem PC wieder einmal das Beste. Sie entdeckt die Bedrohung und entfernt sie automatisch. Wir empfehlen, den kostenlosen ESET Online Scanner auszuprobieren.
Wie bleibe ich sicher?
Mit dem Beginn der gamescom Messe 2017 möchten wir darüber aufklären, wie die Gamer ihre Spiele genießen können und Bedrohungen aus dem Weg gehen:
- Wann immer möglich, offizielle Quellen bevorzugen. Die kompromittierten MMORPGs zeigen bloß einen Bruchteil dessen, was sich hinter Downloadlinks auf den vielen tausenden inoffiziellen Webseiten verbergen kann.
- Spiele immer auf dem neusten Stand halten. Selbst Games sind nicht vor Schwachstellen gefeit, die von bösartigen Angreifern ausgenutzt werden. Wir empfehlen, auf Nummer sicher zu gehen und alle Sicherheitspatches für die Spiele zu installieren.
- Verwendung einer verlässlichen Antivirus-Sicherheitslösung – auch während des Spielens. Viele Antivirus-Sicherheitslösungen bieten einen Gaming-Modus an. Der Spieler muss keine Unterbrechungen befürchten und bleibt trotzdem vor Bedrohungen und Malware geschützt.
- Auch andere Bedrohungen haben es auf Gamer abgesehen. Ausführliche Informationen im Artikel „Sicherheitstipps für Gamer“(englisch).
Zusätzliche Informationen
ESETs Sicherheitssysteme haben die Joao Malware überall auf der Welt entdeckt. Die folgende Karte zeigt die Gefährdungslage der jeweiligen Länder:
Abbildung 3: Entdeckungen der Joao Malware-Verteilung basierend auf ESETs Sicherheitssystem
| IoCs |
|---|
| Joao downloader : mskdbe.dll – Win32/Joao.A |
| Hashes: |
| 49505723d250cde39087fd85273f7d6a96b3c50d |
| d9fb94ac24295a2d439daa1f0bf4479420b32e34 |
| 4ede2c99cc174fc8b36a0e8fe6724b03cc7cb663 |
| e44dbadcd7d8b768836c16a40fae7d712bfb60e2 |
| b37f7a01c5a7e366bd2f4f0e7112bbb94e5ff589 |
| fdbb398839c7b6692c1d72ac3fcd8ae837c52b47 |
| 5ab0b5403569b17d8006ef6819acc010ab36b2db |
| c3abd23d775c85f08662a00d945110bb46897c7c |
| 00a0677e7f26c325265e9ec8d3e4c5038c3d461d |
| c1b4c2696294df414cfc234ab50b2e209c724390 |
| 844f20d543d213352d533eb8042bd5d2aff4b7d4 |
| 2ce51e5e75d8ecc560e9c024cd74b7ec8233ff78 |
| 12a772e2092e974da5a1b6e008c570563e9acfe9 |
| 287c610e40aff6c6f37f1ad4d4e477cb728f7b1d |
| 5303a6f8318c2c79c2188377edddbe163cd02572 |
| 6f17c3ab48f857669d99065904e85b198f2b83f5 |
| 51dfe50e675eea427192dcc7a900b00d10bb257a |
| ec976800cd25109771f09bbba24fca428b51563e |
| 13e05e44d1311c5c15c32a4d21aa8eadf2106e96 |
| 0914913286c80428b2c6dec7aff4e0a9b51acf50 |
| 1e9c0a2a75db5b74a96dbfd61bcdda47335aaf8b |
| 392b54c5a318b64f4fd3e9313b1a17eac36320e1 |
| ba40012bdee8fc8f4ec06921e99bc4d566bba336 |
| 6d130e6301f4971069513266a1510a4729062f6d |
| beea9351853984e7426107c37bc0c7f40c5360e0 |
| a34d6a462b7f176827257991ef9807b31679e781 |
| ac86700c85a857c6d8c72cb0d34ebd9552351366 |
| af079da9243eb7113f30146c258992b2b5ceb651 |
| 1e6125b9c4337b501c699f481debdfefea070583 |
| a158f01199c6fd931f064b948c923118466c7384 |
| 350fc8286efdf8bcf4c92dc077088dd928439de9 |
| 2da8a51359bf3be8d17c19405c930848fe41bb04 |
| Components: |
| JoaoShepherd.dll – Win32/Joao.B |
| joaoDLL.dll – Win32/Joao.C |
| joaoInstaller.exe – Win32/Joao.D |
| JoaoShepherd.dll (x64) – Win64/Joao.B |
| joaoInstaller.exe (x64) – Win64/Joao.D |
| Hashes: |
| 0d0eb06aab3452247650585f5d70fa8a7d81d968 |
| f96b42fd652275d74f30c718cbcd009947aa681a |
| 6154484d4acf83c21479e7f4d19aa33ae6cb716c |
| d338babd7173fa9bb9b1db9c9710308ece7da56e |
| ef2a21b204b357ca068fe2f663df958428636194 |
| 6b0e03e12070598825ac97767f9a7711aa6a7b91 |
| 28ca2d945731be2ff1db1f4c68c39f48b8e5ca98 |
| d08120dd3fa82a5f117d91e324b2baf4cbbcaea5 |
| f95aef3ca0c4bd2338ce851016dd05e2ee639c30 |
| 9b2d59a1aa7733c1a820cc94a8d5a6a5b4a5b586 |
| ceb15c9fd15c844b65d280432491189cc50e7331 |
| 3331ac2aecfd434c591b83f3959fa8880141ab05 |
| 2ff2aadc9276592cbe2f2a07cf800da1b7c68581 |
| 3bceb54eb9dd2994b1232b596ee0b117d460af09 |
| 86617e92fc6b8625e8dec2a006f2194a35572d20 |
| 18a74078037b788f8be84d6e63ef5917cbafe418 |
| 4b0c1fcd43feab17ca8f856afebac63dedd3cd19 |
| 6bfa98f347b61d149bb2f8a2c9fd48829be697b6 |
| 7336e5255043841907e635b07e1e976d2ffb92b5 |
| 745396fedd66a807b55deee691c3fe70c5bc955d |
| 574f81b004cb9c6f14bf912e389eabd781fe8c90 |
| d7751fc27efbc5a28d348851ce74f987d59b2d91 |
| 19bf7b5ad77c62c740267ea01928c729ca6d0762 |
| ecc0ade237fa46a5b8f92ccc97316901a1eaba47 |
| 7075ffa5c8635fb4afeb7eea69a910e2f74080b3 |
| 47f68b6352243d1e03617d5e50948648f090dc32 |
| 7a4f05fc0906e3e1c5f2407daae2a73b638b73d9 |
| b6d7da761084d4732e85fd33fb670d2e330687a2 |
| ab69fb7c47e937620ab4af6aa7c36cf75f262e39 |
| 0e9e2dcf39dfe2436b220f13a18fdbce1270365d |
