«Mario Forever» enthält Krypto-Malware – meine Suche nach einer sauberen Version
Das Super-Mario-Game «Mario Forever» enthält offenbar Malware. Damit wird dein Windows-Computer zu einer Krypto-Mining-Station. Auch deine Daten werden gestohlen. Ich will trotzdem zocken. Nur wie? Ich begebe mich auf die Suche.
Security-Experten der Firma Cyble haben Malware in «Super Mario 3: Mario Forever» entdeckt. Genauer gesagt, in einer manipulierten Variante der Version 702e. Diese ist rund drei Jahre alt und gleichzeitig die aktuellste Version des Spiels.
Quelle: Florian Bodoky
«Mario Forever» wurde ursprünglich 2003 von Buziol Games entwickelt. Es stammt also nicht von Nintendo. Vielmehr handelt es sich um eine Hommage an Super Mario Bros. 3 auf dem NES. So wurden auch diverse Spielelemente daraus aufgegriffen, um den Spielenden ein «NES-Feeling» zu vermitteln. Der kostenlose Titel wurde millionenfach heruntergeladen und gespielt. Das will ich auch. Aber ohne Malware. Wie mache ich das?
Woher kommt die verseuchte Version?
Cyble geht davon aus, dass sie in Game-Foren, Social-Media-Gruppen oder generell über Malvertising Verbreitung fand. Der Installer heisst «super-mario-forever7092e.exe». In dem File befindet sich ebenfalls die Schadsoftware. Diese nennt sich natürlich nicht «BoeseMalware.exe», sondern hat einen unverdächtigen Namen, der zum Game passt.
Grundsätzlich solltest du beim Download vorsichtig sein. Es wurde nun eine manipulierte Version von 702e entdeckt. Das bedeutet nicht, dass es nicht auch andere Versionen des Spiels gibt, die Malware mitbringen. Es wird in dutzenden Foren und von Drittanbietern zum Download angeboten. Auch wenn du ganz normal über Google nach dem Game suchst, kann es sein, dass die Software kompromittiert ist
Was macht die Malware
Cyble hat bösartige Software im Game-Installer-Paket entdeckt. Zum einen das Programm «SupremeBot». Dabei handelt es sich um einen Mining-Client, der auf infizierten Computern die Kryptowährung «Monero» schürft. Dabei verbindet sich das Tool mit dem Mining-Server und transferiert die Coins in dessen Richtung. Der Mining-Prozess benötigt eine Menge Ressourcen. Ist dein System also grundlos stark ausgelastet, könnte das ein Indikator sein.
Quelle: Florian Bodoky
Das Tool verhält sich clever. Es dupliziert zuerst sich selbst. Danach versteckt sich die Kopie im Windows-App-Data-Ordner, wo du es nicht so leicht entdecken kannst. Das Original löscht sich selbst. Danach wird «SupremeBot» alle 15 Minuten ausgeführt. Jedes Mal unter einem anderen, unverdächtig klingenden Prozess-Namen. Damit will sich die Malware nicht nur vor dir, sondern auch vor deinen Schutzprogrammen verstecken. Zu guter Letzt zieht es eine Malware namens «Umbral» nach. Dieser sogenannte Stealer entgeht dem Windows Defender unter Umständen. Denn der Prozess wird vom «SupremeBot» einfach auf die Ausnahmeliste des Defenders geschmuggelt. Aktuell ist nicht klar, welche Virenscanner das File entdecken und welche nicht.
Dieses Programm stiehlt Daten von deinem PC. Zudem liefert es Infos über deine Kryptowallets an «SupremeBot». Gemäss «Cyble» kann die Malware Screenshots erstellen, Webcam-Bilder aufzeichnen sowie Passwörter und Cookies aus dem Browser auslesen. Auch Discord-Tokens und Telegram-Zugangsdaten sind nicht sicher vor seinem Zugriff.
Zudem kann die Schadsoftware das Host-File verändern. So kann sie den Zugriff auf bestimmte Antiviren-Websites verhindern. Sie leitet den Domainnamen einfach auf die IP 0.0.0.0 um.
Bin ich betroffen?
Wie lange es bereits die mit Malware angereicherten Versionen des Games gibt, ist unklar. Genauso, wie viele verschiedene Versionen davon herumgeistern. Oder auf welchen Kanälen sie angeboten werden. Das Game ist alt und kostenlos, daher gibt es viele Drittanbieter.
Um herauszufinden, ob eine von dir installierte Version mit Malware verseucht ist, kannst du wie folgt vorgehen:
- Kontrollierel, ob der Installer, nach dem Ausführen weitere .EXE-Files oder Verknüpfungen produziert hat. Diese auf jeden Fall löschen
- Hast du diese EXE-Files alle ausgeführt? Dann überprüfe, wie es um die Auslastung deiner CPU bestellt ist. Ist diese ungewöhnlich hoch? Dann könnte es sein, dass dein Gerät am Minen ist. In diesem Falle kannst du nach verdächtigen Prozessen Ausschau halten.
- Schau in den Appdata-Ordner rein (C:\Users\Username\Appdata). Sortiere die Dateien nach Datum und schau, ob ein File genau zu dem Zeitpunkt reingeflutscht ist, an dem du das Spiel installiert hast. Findest du eine der folgenden drei Dateien: Java.exe, Atom.exe oder wime.exe? Schlechtes Zeichen. Lösche sie.
Und denk daran: Halte Windows und deinen Virenscanner aktuell.
Infiziert! Was nun?
Wenn «Umbral» von deinem Virenscanner entdeckt wird, solltest du ihn löschen (diese Option wird dir dein Virenscanner anbieten). Weil er Daten aus dem Browser grabben kann, solltest du die Passwörter deiner Dienste ändern. Zumindest, sofern du sie im Browser gespeichert hast. Auch Zugangsdaten zu Discord oder Telegram solltest du ändern. Gleiches gilt, wenn sich deine Firewall meldet. Verbindungsversuche zu C2-Servern namens «shadowlegion» oder «silent legion» sind ein Alarmzeichen. C2 steht für «Command-and-Control-Infrastructure». Dabei handelt es sich um eine Tool-Sammlung, mit der ein infiziertes Gerät mit der Plattform kommuniziert, von der der Angriff gestartet wurde. Auch wenn die Malware auf deinem Computer weitere Software braucht, lädt er sie auf diese Weise herunter.
Wo bekommst du das Game ganz sicher ohne böse Überraschung her?
Wie bereits erwähnt: Die neueste Version des Games ist bereits drei Jahre alt und wurde seither nicht mehr weiterentwickelt. Und just diese Version wurde in einer manipulierten Variante im Netz gefunden. Klar, shady Foren und Social-Media-Gruppen sind nicht die zuverlässigste Quelle. Ich möchte dir an dieser Stelle eine sichere Quelle nennen. Um eine zu finden, setze ich eine virtuelle Maschine auf, installiere Windows 11 und hole mir «Super Mario 3: Mario Forever». Ich lade es von der Website des Vertreibers Softendo herunter.
Quelle: Florian Bodoky
Ich starte das Setup und Windows fragt mich, ob ich wirklich eine App von einem unbekannten Herausgeber installieren möchte. Tatsächlich: Weder Softendo noch Buziol Games tauchen auf. Kommt bei älterer Software hin und wieder vor. Dennoch nicht gerade vertrauenerweckend.
Das Setup endet und generiert mir eine Verknüpfung auf dem Desktop. Gefragt wird nicht. Ich doppelklicke, ein Fenster geht auf. Da gibt es zwar einen «Play Game»-Button, aber auch einen, der mir andere Downloads ans Herz legt. Ich will spielen. Ich wähle einen Gaming-Stil aus (OLD TV NES). Das Game startet … nicht. Ein weiterer Startscreen erscheint. Es gibt einen «Start Game»-Button, aber abermals ein Angebot eines anderer Mario-Fangames. Ich starte. Das Level beginnt.
Quelle: Florian Bodoky
Das Spiel ist träge und buggy. Erinnert mich an meine ersten Java-Versuche in der Lehre.Meine Befehle werden nicht oder nur verzögert ausgeführt. Kann sein, dass es an meinem fehlenden Talent liegt. Auch nach drei Versuchen schaffe ich das Level nicht.
Quelle: Florian Bodoky
Der Lüfter meines 2021-er Laptops klingt nach Helikopter. Ein Blick in den Task-Manager zeigt, dass das Softendo-Programm in Sachen CPU ordentlich rein fetzt. Ich schliesse den Task und das Game. Dann entdecke ich eine zweite Verknüpfung auf meinem Desktop. Die war nach dem Beenden des Setups noch nicht da. Lustig.
Quelle: Florian Bodoky
Ich lade das EXE-File des Games bei Virustotal.com hoch. Virustotal ist ein kostenloser Dienst im Netz, der Programme auf Anfrage mit Dutzenden verschiedenen Virenscanner durchleuchtet. Tadaa, ein Dropper hat sich eingeschlichen. Dropper «helfen» dabei, Malware zu verbreiten und zu installieren. Sogenannte «nicht-persistente» Dropper können sich nach der Installation der Malware sogar selbst entfernen. Persistente Dropper kopieren sich selbst und verstecken sich. Auch Antivirenprogramme können blockiert und Signaturen umgangen werden. Kurz: Ein Dropper ist nichts, was du auf deinem System haben willst.
Quelle: Florian Bodoky
Ich lösche die komplette virtuelle Maschine.
Fazit
Aktuell lautet mein Fazit leider: Lass es mit «Mario Forever». Wenn sogar auf der offiziellen Vertreiber-Website ein Dropper mitkommt, dann wird die Operation eine Lotterie. Gewinnchancen: schlecht. Falls du eine Nintendo Switch samt Nintendo-Switch-Online-Abo hast, stehen dir ohnehin Dutzende von Klassikern kostenlos zur Verfügung. Die machen mehr Spass und sind auch nicht so verbuggt.
Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.
