Analysiert: PS3-Emulator als Schafspelz

Ein kostenloser Playstation-3-Emulator für den Computer verspricht Spielspaß, verfolgt in Wirklichkeit aber ein ganz anderes Ziel. Im zweiten Teil der heisec-Serie "Analysiert:" nimmt ihn die Malware-Analystin Olivia von Westernhagen nach allen Regeln der Kunst auseinander.

In Pocket speichern vorlesen Druckansicht 104 Kommentare lesen
Werbefalle anstatt Spielspaß
Lesezeit: 16 Min.
Inhaltsverzeichnis

Emulatoren für die Playstation 2 – allen voran der kostenlose PCSX2 – erfreuen sich trotz einiger Einschränkungen bezüglich der Performance sowie einer begrenzten Auswahl an kompatiblen Spielen großer Beliebtheit. Anders sieht es bei Playstation-3-Emulatoren aus; selbst das am weitesten fortgeschrittene Projekt in diesem Bereich (RPCS3) steckt trotz großer Fortschritte im vergangenen Jahr noch in den Kinderschuhen.

Doch wie ist es möglich, dass die Online-Suche nach "Playstation 3 Emulator" so viele Treffer liefert? Was sind die Absichten derer, die unter dieser Überschrift fragwürdige Downloads zur Verfügung stellen? Da muss doch eigentlich was faul sein.

Wirkt auf den ersten Blick vertrauenswürdig: Die Webseite mit dem Download des vermeintlichen Playstation-3-Emulators PSeMu3.

Meine Suche nach Antworten startet auf der Internetpräsenz playstation3emulator.net, auf welcher die Entwickler den Emulator PSeMu3 anpreisen. Gestaltung und Struktur der Webseite wirken professionell; Screenshots der grafischen Oberfläche sowie angeblich im Emulator ausgeführter Spiele steigern die Glaubwürdigkeit des Produkts. Wüsste ich nicht bereits, dass die auf der Startseite prangende Ankündigung, Grand Theft Auto V sei mit PSeMu3 spielbar, nicht der Wahrheit entsprechen kann, würde ich glatt darauf hereinfallen. Nun gut – ich tue einmal so, als wüsste ich dies nicht und klicke – wohlgemerkt im Schutze einer virtuellen Maschine (Windows 8 x64 in der VirtualBox) – auf den Download-Button.

Das Analyse-Tool PEiD zeigt, dass PSeMU3_Setup.exe auf einen Nullsoft Installer setzt.

Ich führe die PSeMu3_Setup.exe jedoch nicht aus, sondern öffne sie zunächst in PEiD, einem kleinen Tool, welches etwaige Packer, Crypter und Installer erkennt und anzeigt. Postwendend erscheint "Nullsoft PiMP Stub" in einem kleinen Fenster auf der Oberfläche. Somit weiß ich nun, dass es sich beim Setup um einen Nullsoft Installer (Nullsoft Scriptable Install System, kurz: NSIS) handelt. Das Open-Source-System bietet eine kostenlose und sehr umfangreiche Möglichkeit, Windows-Installer zu erstellen. Im Malware-Bereich werden mit NSIS erstellte Installer dementsprechend auch gern als Dropper für weitere Schadsoftware verwendet.

Ich möchte im nächsten Schritt herausfinden, welche Dateien auf der Festplatte landen und ob nicht noch andere, über die Installation hinausführende Aktionen im Hintergrund laufen. Dafür öffne ich das in den Windows Sysinternals enthaltene Monitoring-Tool ProcMon (Process Monitor). Dieses listet alle Systemaktivitäten von Windows, etwa Registry-Zugriffe und Lese- und Schreibzugriffe auf. Dabei wird im Grunde die komplette Windows-API durchleuchtet. Für eine gezielte Analyse ist das natürlich zu unübersichtlich und ich gebe als Filter den Prozessnamen PSeMu3_Setup.exe an; alle anderen laufenden Prozesse blende ich aus. Ich starte zudem Wireshark zum Aufzeichnen des Netzwerk-Traffics und erstelle, bevor ich das Setup ausführe, einen Sicherungspunkt in VirtualBox. So kann ich die dynamische Analyse bei Bedarf wiederholen oder die gewonnenen Erkenntnisse mit Hilfe weiterer Werkzeuge vertiefen.