ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

Neuer Wurm: Kryptominer erkennt Spiele und schaltet sich ab

Frank Hüber
90 Kommentare
Neuer Wurm: Kryptominer erkennt Spiele und schaltet sich ab
Bild: Free-Photos | CC0 1.0

Bitdefender hat eine neue Kombination aus Wurm und Kryptominer entdeckt, die Spieler im Visier hat und möglichst lange unentdeckt bleiben möchte. Dies erreicht der Beapy/PCASTLE getaufte Schädling, indem er sich beim Starten von Spielen wie Counter Strike, League of Legends oder Grand Theft Auto deaktiviert.

Der Kryptominer erkennt die Spiele und bestimmte Anwendungen anhand einer hinterlegten Prozessliste. Durch die Deaktivierung bei der Ausführung von Spielen verringert der Kryptominer die Leistung der Spiele nicht und fällt auf betroffenen Systemen somit nicht so schnell auf. Sobald die Spiele beendet werden, wird das Minen im Hintergrund fortgesetzt.

Auch Task Manager stoppt Mining

In der Prozessliste steht aber auch der Windows Task Manager, so dass die CPU-Auslastung abfällt, sobald der Nutzer diesen startet und nach der Ursache für die hohe Last suchen möchte, die sich etwa in schneller drehenden Lüftern äußern kann.

Parallelen zum EternalBlue-Exploit

Der Kryptominer schürft die Kryptowährung Monero (XMR), wobei im Falle von Beapy/PCASTLE sowohl die leistungsstarken CPU- als auch GPU-Ressourcen des Gaming-PCs genutzt werden, um Monero zu schöpfen. Der Schädling besteht aus Python- und PowerShell-Komponenten, um einen Kryptominer mit einem Wurm zu kombinieren. Die Infizierung der Systeme erfolgt über nicht geschlossene Schwachstellen, die laut Bitdefender dem gefährlichen EternalBlue-Exploit ähnlich sind, der Programmierfehler in der SMB-Implementierung von Windows ausnutzt und auch von WannaCry genutzt wird. Die Schwachstelle war jahrelang von der NSA genutzt worden, bevor man sie nach Enthüllungen Microsoft meldete.

  1. Funktionsweise von Beapy/PCASTLE
    Funktionsweise von Beapy/PCASTLE (Bild: Bitdefender)
Bild 1 von 2

Infizierung über modifizierten DriveTheLife-Installer

Derzeit gelangt die Wurm-Kryptominer-Kombination über eine modifizierte Version des Programms DriveTheLife auf viele Systeme, die automatisch Treiber auf einem System aktualisiert.

Erstmals bemerkt wurde Beapy/PCASTLE Ende 2018 und hat sich seitdem in vielen Regionen weltweit verbreitet. Einige Module des Wurm-Kryptominers wurden seitdem von ihren Entwicklern ständig aktualisiert, um sie zu verbessern und zu verstecken.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz