Heute wird die gamescom 2017 von der Bundeskanzlerin Angela Merkel eröffnet. Zunächst ist nur die Fachpresse zugelassen - ab morgen können auch die Gamer die gamescom 2017 erobern.

Pünktlich zum Start der weltweit größten Spielemesse entdeckten ESET-Forscher eine neue hinterhältige Malware namens Joao, die Gamer weltweit bedroht. Die Malware wird durch gecrackte Aeria Games verteilt, die auf inoffiziellen Webseiten angeboten werden. Die modulare Schadsoftware ist in der Lage, jeden beliebigen weiteren Schadcode herunterzuladen und virtuell auf dem PC des Opfers zu installieren.

Die Malware-Entwickler hinter Joao missbrauchten Massively-Multiplayer Online Role-Playing Games (MMORPGs), die original von Aeria Games veröffentlicht wurden. Zum Zeitpunkt der Erstellung dieses Artikels wurde der Joao Downloader durch das Anime MMORPG Grand Fantasia verteilt, das auf gf.ignitgames[.]to. zum Download bereitstand.

Die ESET-Untersuchungen zeigen, dass man auch einige andere Aeria Games auf gleiche Weise in der Vergangenheit zweckentfremdete. Allerdings gingen die inoffiziellen Webseiten bereits offline oder die bösartigen Downloads sind bereits entfernt.

ESET blockt die Webseite, welche die Joao Malware derzeit verteilen will. Des Weiteren wurde Aeria Games über die Entdeckung informiert.

kompromittierte Version von Grand Fantasia wie sie via gf.ignitgames[.]to verteilt wird.

Abbildung 1: kompromittierte Version von Grand Fantasia wie sie via gf.ignitgames[.]to verteilt wird

Wie funktioniert die Joao Malware?

Die betreffenden Games wurden so modifiziert, dass sie Joaos Hauptkomponenten ausführen können – die schädliche Programmbibliothek mskdbe.dll. Diese erkennt ESET als Win32/Joao.A. Starten User den Gamer Launcher, wird parallel auch Joao aufgerufen.

Mit dem Starten sendet der Joao Downloader zunächst grundlegende Informationen des Computers, wie Gerätename, Version des Betriebssystems und eingeräumte User-Rechte, zum Server des Angreifers. Die Malware achtet darauf, möglichst unentdeckt zu operieren. Solange das Game wie erwartet funktioniert, wird der Spieler auch kein Verdacht schöpfen.

Im Vergleich zum Download einer offiziellen Version eines Aeria Games, liegt der einzige Unterschied in einer zusätzlichen .dll-Datei im Installationsordner des Spiels.

Joao Downloader als .dll im Installationsordner des Spiels

Abbildung 2: Joao Downloader als .dll im Installationsordner des Spiels

Nach dem die Serverkommunikation zustande gekommen ist, entscheidet eine serverseitige Logik, welche zusätzlichen Komponenten auf den kompromittierten PC geladen werden. Die Joao-Komponenten, welche von ESET während der Untersuchungen aufgedeckt wurden, weisen eine Backdoor auf sowie Späh- und DDoS-Optionen.

Ist mein PC davon betroffen? Wie kann ich meinen PC von Joao befreien?

Wer viele Spiele von unterschiedlichen Quellen herunterlädt, muss aufpassen. Folgender Quick-Check bietet sich an: Im Windows-Explorer gibt man im Suchfeld oben rechts “mskdbe.dll“ ein. Beim Erhalt eines Suchergebnisses besteht höchstwahrscheinlich die Gefahr, die Malware Joao heruntergeladen zu haben. Aber selbst wenn die Suchanfrage ergebnislos blieb, könnten die Malware-Entwickler die schädliche Programmbibliothek einfach umbenannt haben.

In dieser Situation ist eine verlässliche Antivirus-Sicherheitslösung auf dem PC wieder einmal das Beste. Sie entdeckt die Bedrohung und entfernt sie automatisch. Wir empfehlen, den kostenlosen ESET Online Scanner auszuprobieren.

Wie bleibe ich sicher?

Mit dem Beginn der gamescom Messe 2017 möchten wir darüber aufklären, wie die Gamer ihre Spiele genießen können und Bedrohungen aus dem Weg gehen:

  • Wann immer möglich, offizielle Quellen bevorzugen. Die kompromittierten MMORPGs zeigen bloß einen Bruchteil dessen, was sich hinter Downloadlinks auf den vielen tausenden inoffiziellen Webseiten verbergen kann.
  • Spiele immer auf dem neusten Stand halten. Selbst Games sind nicht vor Schwachstellen gefeit, die von bösartigen Angreifern ausgenutzt werden. Wir empfehlen, auf Nummer sicher zu gehen und alle Sicherheitspatches für die Spiele zu installieren.
  • Verwendung einer verlässlichen Antivirus-Sicherheitslösung – auch während des Spielens. Viele Antivirus-Sicherheitslösungen bieten einen Gaming-Modus an. Der Spieler muss keine Unterbrechungen befürchten und bleibt trotzdem vor Bedrohungen und Malware geschützt.
  • Auch andere Bedrohungen haben es auf Gamer abgesehen. Ausführliche Informationen im Artikel „Sicherheitstipps für Gamer“(englisch).

Zusätzliche Informationen

ESETs Sicherheitssysteme haben die Joao Malware überall auf der Welt entdeckt. Die folgende Karte zeigt die Gefährdungslage der jeweiligen Länder:

Entdeckungen der Joao-Malware-Verteilung basierend auf ESETs Sicherheitssystem

Abbildung 3: Entdeckungen der Joao Malware-Verteilung basierend auf ESETs Sicherheitssystem

IoCs
Joao downloader :  mskdbe.dll  – Win32/Joao.A
Hashes:
49505723d250cde39087fd85273f7d6a96b3c50d
d9fb94ac24295a2d439daa1f0bf4479420b32e34
4ede2c99cc174fc8b36a0e8fe6724b03cc7cb663
e44dbadcd7d8b768836c16a40fae7d712bfb60e2
b37f7a01c5a7e366bd2f4f0e7112bbb94e5ff589
fdbb398839c7b6692c1d72ac3fcd8ae837c52b47
5ab0b5403569b17d8006ef6819acc010ab36b2db
c3abd23d775c85f08662a00d945110bb46897c7c
00a0677e7f26c325265e9ec8d3e4c5038c3d461d
c1b4c2696294df414cfc234ab50b2e209c724390
844f20d543d213352d533eb8042bd5d2aff4b7d4
2ce51e5e75d8ecc560e9c024cd74b7ec8233ff78
12a772e2092e974da5a1b6e008c570563e9acfe9
287c610e40aff6c6f37f1ad4d4e477cb728f7b1d
5303a6f8318c2c79c2188377edddbe163cd02572
6f17c3ab48f857669d99065904e85b198f2b83f5
51dfe50e675eea427192dcc7a900b00d10bb257a
ec976800cd25109771f09bbba24fca428b51563e
13e05e44d1311c5c15c32a4d21aa8eadf2106e96
0914913286c80428b2c6dec7aff4e0a9b51acf50
1e9c0a2a75db5b74a96dbfd61bcdda47335aaf8b
392b54c5a318b64f4fd3e9313b1a17eac36320e1
ba40012bdee8fc8f4ec06921e99bc4d566bba336
6d130e6301f4971069513266a1510a4729062f6d
beea9351853984e7426107c37bc0c7f40c5360e0
a34d6a462b7f176827257991ef9807b31679e781
ac86700c85a857c6d8c72cb0d34ebd9552351366
af079da9243eb7113f30146c258992b2b5ceb651
1e6125b9c4337b501c699f481debdfefea070583
a158f01199c6fd931f064b948c923118466c7384
350fc8286efdf8bcf4c92dc077088dd928439de9
2da8a51359bf3be8d17c19405c930848fe41bb04
Components:
JoaoShepherd.dll – Win32/Joao.B
joaoDLL.dll – Win32/Joao.C
joaoInstaller.exe – Win32/Joao.D
JoaoShepherd.dll (x64) – Win64/Joao.B
joaoInstaller.exe (x64) – Win64/Joao.D
Hashes:
0d0eb06aab3452247650585f5d70fa8a7d81d968
f96b42fd652275d74f30c718cbcd009947aa681a
6154484d4acf83c21479e7f4d19aa33ae6cb716c
d338babd7173fa9bb9b1db9c9710308ece7da56e
ef2a21b204b357ca068fe2f663df958428636194
6b0e03e12070598825ac97767f9a7711aa6a7b91
28ca2d945731be2ff1db1f4c68c39f48b8e5ca98
d08120dd3fa82a5f117d91e324b2baf4cbbcaea5
f95aef3ca0c4bd2338ce851016dd05e2ee639c30
9b2d59a1aa7733c1a820cc94a8d5a6a5b4a5b586
ceb15c9fd15c844b65d280432491189cc50e7331
3331ac2aecfd434c591b83f3959fa8880141ab05
2ff2aadc9276592cbe2f2a07cf800da1b7c68581
3bceb54eb9dd2994b1232b596ee0b117d460af09
86617e92fc6b8625e8dec2a006f2194a35572d20
18a74078037b788f8be84d6e63ef5917cbafe418
4b0c1fcd43feab17ca8f856afebac63dedd3cd19
6bfa98f347b61d149bb2f8a2c9fd48829be697b6
7336e5255043841907e635b07e1e976d2ffb92b5
745396fedd66a807b55deee691c3fe70c5bc955d
574f81b004cb9c6f14bf912e389eabd781fe8c90
d7751fc27efbc5a28d348851ce74f987d59b2d91
19bf7b5ad77c62c740267ea01928c729ca6d0762
ecc0ade237fa46a5b8f92ccc97316901a1eaba47
7075ffa5c8635fb4afeb7eea69a910e2f74080b3
47f68b6352243d1e03617d5e50948648f090dc32
7a4f05fc0906e3e1c5f2407daae2a73b638b73d9
b6d7da761084d4732e85fd33fb670d2e330687a2
ab69fb7c47e937620ab4af6aa7c36cf75f262e39
0e9e2dcf39dfe2436b220f13a18fdbce1270365d