Seite 3: Das Spiel beginnt …

Inhaltsverzeichnis

Das Spiel beginnt … nie

„All diese Werbung“, so könnte sich nun manch einer denken, „ist bei einem kostenlosen Produkt verzeihlich. Schließlich wollen die Entwickler ja auch ein bisschen was verdienen, und man hat ja immer auch die (wenn auch verwirrend umgesetzte) Option, die Installation der Adware abzulehnen“. Klar, so könnte man denken – wenn es sich tatsächlich um ein zufriedenstellendes Produkt handeln würde. An dieser Stelle meiner Analyse dürfte es jedoch kaum noch jemanden überraschen, dass es sich beim Playstation-3-Emulator PSeMu3 lediglich um eine Attrappe handelt.

Die PSeMu3.exe ist eine .NET-Anwendung, welche aus einem einzigen Fenster mit PSeMu3-Schriftzug als Hintergrundbild besteht. Das zugegebenermaßen recht gut gemachte Logo ist noch das Erfreulichste an diesem vermeintlichen PS3-Emulator: Die Menüpunkte der Visual-Basic-Anwendung verfügen über keinerlei Funktionalität; gleiches gilt für die auf den ersten Blick recht überzeugende Ordnerstruktur mit Plug-ins- und Cheats-Ordnern, einer Hilfedatei und einigem mehr. Die darin enthaltenen Dateien entpuppen sich beim Öffnen im Hex-Editor jedoch als purer Datenmüll. War wohl nichts mit GTA V, The Last of Us oder Little Big Planet 3.

Der Programmablauf nach dem Starten der PSeMu3.exe beschränkt sich, wie man mit einem .NET-Decompiler (zum Beispiel .NET Reflector) sehr gut nachvollziehen kann, auf den Aufruf zweier Formulare. Das erste wird beim Start des installierten Programms geladen. Hier findet eine if-Abfrage bezüglich des Vorhandenseins eines Unterverzeichnisses namens Bios innerhalb der PSeMu3-Verzeichnisstruktur statt. Ist dieser nicht vorhanden, wird eine Aufforderung ausgegeben, die fehlenden Dateien herunterzuladen; der entsprechende Link steht hardcoded im Programm.

Da nun klar ist, dass PSeMu3.exe in Wirklichkeit kein Emulator ist, lässt die Aufforderung, eine weitere Komponente herunterzuladen, auf eine Fortsetzung des Werbeterrors schließen. Eine genaue Beschreibung der Funktionen der Datei ps3bios.exe und den Abläufen nach deren Start kommt einem Déjà-vu-Erlebnis gleich. Nur so viel: Erneut werden für ein Affiliate-Programm (RevenYou.com) beziehungsweise zur Ermittlung der zu installierenden Adware diverse Systeminformationen gesammelt. Die angebliche Bios-Datei wird – zusammen mit der noch nicht auf dem Computer vorhandenen Adware – in einem Installer-Bundle von RevenYou.com nachgeladen und mit CreateProcess() aus ps3bios.exe heraus gestartet. Für die Installation mittels des RevenYou.com-Installers fließt noch einmal Geld in die Kasse der PSeMu3-Macher.

Besagtes Bios-Unterverzeichnis wird angelegt, und die neu heruntergeladene Datei kopiert sich unter dem Namen PS3.bin selbst hinein, um fortan keinerlei praktischen Nutzen mehr zu erfüllen. Schadfunktionen konnte ich während einer (allerdings eher oberflächlichen) Analyse nicht feststellen; im Gegenteil wurde vermutlich bewusst darauf verzichtet, um ein möglichst unauffälliges RevenYou.com-Bundle erstellen zu können, welches von Virenscannern auf dem System nicht bemängelt wird.

Interessant fand ich zudem, dass auf der Downloadseite des vermeintlichen Bios zunächst die Aufforderung erscheint, den Emulator über soziale Netzwerke zu teilen beziehungsweise zu liken. Auf diese Weise gewinnt das PSeMu3-Projekt noch weiter an Glaubwürdigkeit – denn, so die scheinbar logische Schlussfolgerung, wenn so viele Menschen begeistert von diesem PS3-Emulator sind, dann muss er doch gut sein … oder?

Kann ich denn JETZT endlich spielen?

Wie, so habe ich mich während des ersten Durchlaufs meiner Analyse mit wachsender Neugierde gefragt, können die Betrüger die Illusion eines echten Emulators nach der Bios-Installation noch weiter aufrechterhalten? Ich starte die PSeMu3.exe erneut und bin gespannt darauf, wie es wohl weitergeht.
"The bios files were found and loaded!", verkündet ein Dialogfenster. Doch die Ernüchterung folgt schnell in Form eines zweiten Fensters: "This emulator is not activated! You need activate it in order to play games, would you like to activate it now?".

Ich klicke auf Ja und kann mir ein belustigtes Grinsen angesichts der Dreistigkeit der PSeMu3-Macher nicht länger verkneifen: Um die Aktivierung abschließen zu können, soll ich als nächstes an einer Umfrage teilnehmen, zu der ich nach der Auswahl aus einer Liste weitergeleitet werde. Wer daran wohl verdient? Ich entscheide mich für den Download eines bekanntermaßen unseriösen Tune-Up-Tools – dabei handelt es sich um den bereits erwähnten PC Optimizer Pro. Der Vollständigkeit halber installiere ich auch diesen, nur um ein letztes Mal bestätigt zu finden, was ich bereits dem .NET-Code entnommen habe: Wer bis zu diesem Punkt mitspielt, wird mit reichlich Werbung und zweifelhaften Anwendungen, nicht aber mit einem echten PS3-Emulator versorgt.

Auf ihre Kosten kommen nur die Macher des gefälschten PS3-Emulators – und vielleicht ein paar schräge Zeitgenossen, die das Klicken auf unzählige Buttons und die wahllose Übermittlung ihrer Daten zu Werbezwecken als Spielspaß empfinden. Ich für meinen Teil gehe jetzt zurück auf die Couch und schalte die echte Spielkonsole ein.

Analysiert: Die heise-Security-Serie, die hinter die Kulissen schaut. (ovw)