Jetzt auch mobil Kommentieren!

Software bringt Trojaner mit und aktiviert ihn bei illegaler Nutzung

Von Christian Kahle am 20.02.2018 08:02 Uhr
46 Kommentare
Ein Hersteller eines Flugsimulators ist damit aufgefallen, womöglich wenig verhältnismäßige Mittel gegen Nutzer einzusetzen, die sein Produkt ohne ordentlich gekaufte Lizenz verwenden. Auf deren Rechnern soll angeblich Malware aktiviert werden, die verschiedene Informationen von dem System ausspionieren soll.

Passwort-Dump der test.exe

Die ganze Sache war einem Anwender aufgefallen, als er die Daten im Installations-Verzeichnig des A320X-Moduls in der Software von FlightSimLabs etwas genauer unter die Lupe nahm. Stutzig wurde er bei der Untersuchung einer Datei namens "FSLabs_A320X_P3D_v2.0.1.231.exe". In dieser war nämlich ein weiteres File namens "test.exe" zu finden, berichtete der User unter dem Pseudonym "crankyrecursion" auf Reddit.

Es stellte sich heraus, dass es sich hierbei um den Code eines von SecurityXploded.com stammenden Tools handelt, mit dem sich gespeicherte Passwörter aus Googles Chrome-Browser auslesen lassen. Dieses kann über weitreichende Rechte verfügen, da der Installer der Flugsimulator-Software nach Admin-Rechten verlangt und diese natürlich an Programmkomponenten vererben kann.

Wie kommt die Malware da rein?

Die große Frage ist nun, wie das Spionage-Tool in das Installationspaket gekommen ist. Natürlich kann es durchaus sein, dass Kriminelle versuchen, über vermeintlich kostenlose Software von Filesharing-Plattformen Malware zu verbreiten - was ein durchaus gängiges Mittel ist. Und auch seitens FlightSimLabs weist man die Anschuldigungen, Spionage-Module in die eigene Software einzubauen, zurück. Firmenchef Lefteris Kalamaras stellt die Vermutung in den Raum, dass der fragliche User sich schlicht Malware eingefangen hat, als er sich eine illegale Kopie aus dem Netz besorgte.

Auf der anderem Seite räumte er aber auch ein, dass die fragliche test.exe Bestandteil des DRMs sei. Denn die Flugsimulator-Software wird auch mit Funktionen ausgeliefert, die die einschlägigen Torrent-Plattformen überwachen. Wenn hier nun der gleiche Lizenz-Key in den Beschreibungen zu finden ist, wie er auch vom jeweiligen Nutzer verwendet wird, schaltet sich das Passwort-Tool an. Bei Usern mit einem höchst wahrscheinlich ordentlich gekauften Key ist die Malware dann zwar ebenfalls vorhanden, aber inaktiv. Inzwischen hat die Firma auch einen neuen Installer bereitgestellt, in dem der fragliche Code nicht mehr enthalten ist - das kann man quasi auch als Schuldeingeständnis verstehen.
whatsapp
Jede Woche neu: Top-News per E-Mail
46 Kommentare lesen & antworten
Verwandte Themen
Filesharing
Hoch © 2000 - 2018 WinFuture Impressum Datenschutz