X

Software bringt Trojaner mit und aktiviert ihn bei illegaler Nutzung

Ein Hersteller eines Flugsimulators ist damit aufgefallen, womöglich wenig verhältnismäßige Mittel gegen Nutzer einzusetzen, die sein Produkt ohne ordentlich gekaufte Lizenz verwenden. Auf deren Rechnern soll angeblich Malware aktiviert werden, die verschiedene Informationen von dem System ausspionieren soll.
/ Flickr
20.02.2018  08:02 Uhr
Passwort-Dump der test.exe Passwort-Dump der test.exe

Die ganze Sache war einem Anwender aufgefallen, als er die Daten im Installations-Verzeichnig des A320X-Moduls in der Software von FlightSimLabs etwas genauer unter die Lupe nahm. Stutzig wurde er bei der Untersuchung einer Datei namens "FSLabs_A320X_P3D_v2.0.1.231.exe". In dieser war nämlich ein weiteres File namens "test.exe" zu finden, berichtete der User unter dem Pseudonym "crankyrecursion" auf Reddit.

Es stellte sich heraus, dass es sich hierbei um den Code eines von SecurityXploded.com stammenden Tools handelt, mit dem sich gespeicherte Passwörter aus Googles Chrome-Browser auslesen lassen. Dieses kann über weitreichende Rechte verfügen, da der Installer der Flugsimulator-Software nach Admin-Rechten verlangt und diese natürlich an Programmkomponenten vererben kann.

Wie kommt die Malware da rein?

Die große Frage ist nun, wie das Spionage-Tool in das Installationspaket gekommen ist. Natürlich kann es durchaus sein, dass Kriminelle versuchen, über vermeintlich kostenlose Software von Filesharing-Plattformen Malware zu verbreiten - was ein durchaus gängiges Mittel ist. Und auch seitens FlightSimLabs weist man die Anschuldigungen, Spionage-Module in die eigene Software einzubauen, zurück. Firmenchef Lefteris Kalamaras stellt die Vermutung in den Raum, dass der fragliche User sich schlicht Malware eingefangen hat, als er sich eine illegale Kopie aus dem Netz besorgte.

Auf der anderem Seite räumte er aber auch ein, dass die fragliche test.exe Bestandteil des DRMs sei. Denn die Flugsimulator-Software wird auch mit Funktionen ausgeliefert, die die einschlägigen Torrent-Plattformen überwachen. Wenn hier nun der gleiche Lizenz-Key in den Beschreibungen zu finden ist, wie er auch vom jeweiligen Nutzer verwendet wird, schaltet sich das Passwort-Tool an. Bei Usern mit einem höchst wahrscheinlich ordentlich gekauften Key ist die Malware dann zwar ebenfalls vorhanden, aber inaktiv. Inzwischen hat die Firma auch einen neuen Installer bereitgestellt, in dem der fragliche Code nicht mehr enthalten ist - das kann man quasi auch als Schuldeingeständnis verstehen.
Verwandte Themen
Filesharing
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture