Ein kostenloser Playstation-3-Emulator für den Computer verspricht Spielspaß, verfolgt in Wirklichkeit aber ein ganz anderes Ziel. Im zweiten Teil der heisec-Serie "Analysiert:" nimmt ihn die Malware-Analystin Olivia von Westernhagen nach allen Regeln der Kunst auseinander.

Emulatoren für die Playstation 2 – allen voran der kostenlose PCSX2 – erfreuen sich trotz einiger Einschränkungen bezüglich der Performance sowie einer begrenzten Auswahl an kompatiblen Spielen großer Beliebtheit. Anders sieht es bei Playstation-3-Emulatoren aus; selbst das am weitesten fortgeschrittene Projekt in diesem Bereich (RPCS3) steckt trotz großer Fortschritte im vergangenen Jahr noch in den Kinderschuhen.

Doch wie ist es möglich, dass die Online-Suche nach "Playstation 3 Emulator" so viele Treffer liefert? Was sind die Absichten derer, die unter dieser Überschrift fragwürdige Downloads zur Verfügung stellen? Da muss doch eigentlich was faul sein.

Wirkt auf den ersten Blick vertrauenswürdig: Die Webseite mit dem Download des vermeintlichen Playstation-3-Emulators PSeMu3.

Spurensuche

Meine Suche nach Antworten startet auf der Internetpräsenz playstation3emulator.net, auf welcher die Entwickler den Emulator PSeMu3 anpreisen. Gestaltung und Struktur der Webseite wirken professionell; Screenshots der grafischen Oberfläche sowie angeblich im Emulator ausgeführter Spiele steigern die Glaubwürdigkeit des Produkts. Wüsste ich nicht bereits, dass die auf der Startseite prangende Ankündigung, Grand Theft Auto V sei mit PSeMu3 spielbar, nicht der Wahrheit entsprechen kann, würde ich glatt darauf hereinfallen. Nun gut – ich tue einmal so, als wüsste ich dies nicht und klicke – wohlgemerkt im Schutze einer virtuellen Maschine (Windows 8 x64 in der VirtualBox) – auf den Download-Button.

Das Analyse-Tool PEiD zeigt, dass PSeMU3_Setup.exe auf einen Nullsoft Installer setzt.

Ich führe die PSeMu3_Setup.exe jedoch nicht aus, sondern öffne sie zunächst in PEiD, einem kleinen Tool, welches etwaige Packer, Crypter und Installer erkennt und anzeigt. Postwendend erscheint "Nullsoft PiMP Stub" in einem kleinen Fenster auf der Oberfläche. Somit weiß ich nun, dass es sich beim Setup um einen Nullsoft Installer (Nullsoft Scriptable Install System, kurz: NSIS) handelt. Das Open-Source-System bietet eine kostenlose und sehr umfangreiche Möglichkeit, Windows-Installer zu erstellen. Im Malware-Bereich werden mit NSIS erstellte Installer dementsprechend auch gern als Dropper für weitere Schadsoftware verwendet.