Mario Forever bevat cryptomalware - mijn zoektocht naar een schone versie
Het Super Mario-spel Mario Forever bevat naar verluidt malware. Het verandert je Windows PC in een cryptomijnstation. En steelt ook andere gegevens. Toch wil ik dit spel spelen. Maar hoe? Ik ga op zoek.
Beveiligingsexperts van Cyble hebben malware ontdekt in Super Mario 3: Mario Forever. Of eigenlijk in een gemanipuleerd type van versie 702e. Dat is ongeveer drie jaar oud en ook de laatste versie van het spel.
Bron: Florian Bodoky
Mario Forever is oorspronkelijk ontwikkeld door Buziol Games in 2003. Het is dus niet gemaakt door Nintendo. Het is eerder een hommage aan Super Mario Bros. 3 op de NES. Er zijn verschillende originele spelelementen toegevoegd om spelers dat NES-gevoel te geven. Het gratis spel is al miljoenen keren gedownload en gespeeld. Ik wil het ook spelen. Alleen zonder de malware. Dus hoe pak ik dit aan?
Waar komt de besmette versie vandaan?
Cyble neemt aan dat het is verspreid via gaming forums, sociale media groepen of malvertising in het algemeen. Het installatieprogramma heet "super-mario-forever7092e.exe". Het bestand bevat ook de malware. Het heet natuurlijk niet "EvilMalware.exe", maar heeft een onverdachte naam die bij het spel past.
In het algemeen moet je voorzichtig zijn met het downloaden van bestanden. Er is nu een versie van 702e ontdekt waarmee is geknoeid. Dit betekent niet dat alle andere versies van het spel vrij zijn van malware. Het spel is te downloaden op tientallen fora en bij andere leveranciers. Zelfs als je naar het spel zoekt op Google, kan de software gecompromitteerd zijn.
Wat doet de malware?
Cyble heeft kwaadaardige software gedetecteerd in het installatiepakket van het spel. Een daarvan is het programma SupremeBot - een mining client die mijnt naar de cryptocurrency Monero op geïnfecteerde computers. De tool maakt verbinding met de mijnbouwserver en stuurt de munten daar naartoe. Dit mijnproces vereist veel bronnen. Dus als je systeembelasting zonder reden enorm is, kan dit een indicator zijn.
Bron: Florian Bodoky
De tool is slim. Eerst dupliceert het zichzelf. Daarna verstopt de kopie zich in de Windows App Data map, waar hij moeilijk te detecteren is. Het origineel verwijdert zichzelf. Daarna draait SupremeBot elke 15 minuten. Het gebruikt elke keer een andere, onopvallende procesnaam. Hierdoor verbergt de malware zich zowel voor jou als voor beschermingsprogramma's die je hebt. Last but not least volgt de malware Umbral. Deze zogenaamde stealer vliegt onder bepaalde omstandigheden onder de radar van je Windows Defender. Dit komt doordat het proces in de lijst met uitzonderingen van Defender wordt gesmokkeld door de SupremeBot. Op dit moment is het nog onduidelijk welke virusscanners het bestand detecteren en welke niet.
Dit programma steelt gegevens van je pc. Het geeft SupremeBot ook informatie over je cryptowallets. Volgens Cyble kan de malware screenshots maken, webcambeelden opnemen en wachtwoorden en cookies uit de browser halen. Zelfs Discord tokens en Telegram inloggegevens zijn niet veilig voor afluisteren.
Meer nog, de malware is in staat om het hostbestand aan te passen. Dit kan de toegang tot bepaalde antiviruswebsites verhinderen. Het leidt de domeinnaam simpelweg om naar IP 0.0.0.0.
Ben ik getroffen?
Het blijft onduidelijk hoe de met malware besmette spelversies hebben gecirculeerd. Net als hoeveel versies ervan er zijn. Of op welke kanalen ze worden aangeboden. Het spel is oud en gratis verkrijgbaar, dus er zijn veel aanbieders van derden.
Om erachter te komen of je een geïnfecteerde versie hebt geïnstalleerd, volg je deze stappen:
- Controleer of het installatieprogramma extra .EXE-bestanden of snelkoppelingen heeft gemaakt nadat het is uitgevoerd. Zorg ervoor dat je deze verwijdert.
- Heb je al deze EXE-bestanden uitgevoerd? Controleer dan je CPU-belasting. Is deze ongewoon hoog? In dat geval is het mogelijk dat je PC aan het mijnen is. Dit betekent dat je moet zoeken naar verdachte processen.
- Bekijk je Appdata map (C:\UsersnaamAppdata). Sorteer de bestanden op datum en kijk of er een bestand in zat op het moment dat je het spel installeerde. Kun je een van de volgende drie bestanden vinden? Java.exe, Atom.exe of wime.exe? Dat is slecht nieuws. Verwijder het.
En vergeet niet om Windows en je virusscanner up-to-date te houden.
Ik ben geïnfecteerd! Wat moet ik doen?
Als Umbral wordt gedetecteerd door je virusscanner, moet je het verwijderen (je virusscanner geeft je deze optie). Omdat het gegevens van je browser pakt, moet je de wachtwoorden veranderen die je gebruikt om toegang te krijgen tot services. Tenminste, als je ze in je browser hebt opgeslagen. Zorg er ook voor dat je de toegangsgegevens tot Discord of Telegram wijzigt. Hetzelfde geldt als je een melding krijgt van je firewall. Als je ziet dat er pogingen zijn gedaan om verbinding te maken met C2-servers met de naam "shadowlegion" of "silent legion", dan moeten je alarmbellen afgaan. C2 staat voor Command-and-Control-Infrastructuur - een verzameling tools die een geïnfecteerd apparaat gebruikt om te communiceren met het platform van waaruit de aanval werd gelanceerd. Als de malware op je computer extra software nodig heeft, zal het die op deze manier downloaden.
Waar kan ik het spel krijgen zonder de vervelende verrassing?
Zoals eerder vermeld, is de nieuwste versie van het spel al drie jaar oud en is er sindsdien niet meer aan gewerkt. Een gemanipuleerde variant van deze exacte versie is op het net gevonden. Natuurlijk zijn louche fora en sociale media niet de meest betrouwbare bronnen. Daarom wil ik je een veilige bron presenteren. Om die te vinden, zet ik een virtuele machine op, installeer Windows 11 en haal Super Mario 3: Mario Forever binnen. Ik download het van de website van de distributeur Softendo.
Bron: Florian Bodoky
Ik start de setup en Windows vraagt of ik echt een app van een onbekende uitgever wil installeren. Inderdaad, noch Softendo noch Buziol Games verschijnen. Maar dit gebeurt af en toe met oudere software. Toch wekt dit niet bepaald vertrouwen.
De installatie eindigt en genereert een snelkoppeling op mijn bureaublad. Dat is me niet gevraagd. Ik dubbelklik en er wordt een venster geopend. Er is een Play Game knop, maar ook een die sterk aanbeveelt om andere te downloaden. Ik wil spelen en selecteer een spelstijl (OLD TV NES). Het spel start niet. In plaats daarvan verschijnt er een ander startscherm. Er is een Start Spel knop, en weer een aanbeveling voor een ander Mario fan spel. Ik start het spel. Het level begint.
Bron: Florian Bodoky
Het spel is traag en buggy. Het doet me denken aan mijn eerste pogingen met Java toen ik nog een leerling was. Mijn commando's worden niet uitgevoerd of vertraagd. Dit kan aan mijn gebrek aan talent liggen. Maar zelfs na drie pogingen lukt het me niet om het level uit te spelen.
Bron: Florian Bodoky
De ventilator van mijn 2021 laptop klinkt als een helikopter. Een blik op Taakbeheer laat zien dat het Softendo programma een echte CPU-vreter is. Ik sluit de taak en het spel. Dan ontdek ik een tweede snelkoppeling op mijn bureaublad. Een die er niet was nadat de installatie was voltooid. Vreemd.
Bron: Florian Bodoky
Ik upload het EXE-bestand van het spel naar Virustotal.com. Virustotal is een gratis online service die programma's op aanvraag scant met tientallen virusscanners. Ta-da, er is een dropper ingeslopen. Droppers "helpen" bij het verspreiden en installeren van malware. Zogenaamde niet-persistente droppers kunnen zichzelf zelfs verwijderen nadat de malware is geïnstalleerd. Persistente droppers klonen zichzelf en verstoppen zich. Antivirusprogramma's kunnen ook worden geblokkeerd en handtekeningen kunnen worden omzeild. Kortom, een dropper is niet iets wat je op je systeem wilt hebben.
Bron: Florian Bodoky
Ik verwijder de hele virtuele machine.
Mijn oordeel
Mijn huidige conclusie is helaas: laat Mario Forever links liggen. Als de officiële website van de distributeur zelfs versies heeft met droppers, speel je Russische roulette. De kans dat je wint? Niet groot. Als je een Nintendo Switch en een Nintendo Switch Online abonnement hebt, heb je sowieso tientallen klassiekers gratis tot je beschikking. Ze zijn leuker en minder buggy.
18 mensen vinden dit artikel leuk
Sinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.
