Addons und ihre Keylogger

[ik4rus]

Hallo.



Ich wollte von euch mal wissen welche ADDONS sicher sind.

hatte am vergangenen WE wieder WOW gespielt nach ner recht langen zeit abstinenz (d3)
So nun fing dann da das desaster an. ADDONS über curse wie ich es sonst tat installiert (downloader) .
Bis dahin ging alles gut. wollte mich dann in D3 einloggen weil ich was verkaufen wollte kam fehler 3 und ich mich an den support gewendet. leider erst keine reaktion.

nen tag später oh nein acc gehackt worden items verkauft worden gold verschickt. na klasse und das mit authentifikator. gm angeschrieben und er meinte ja ich hab wohl nen keylogger drauf.

Nur WO kam der her? System war erst einige wochen zuvor neu gemacht worden von mir war also fast nackig ohne Datenmüll etc.. Bis auf s&f und einigen seriösen seiten war ich auch nirgends drauf (bank, vertrauenswürdige Foren, ebay, Amazon)

ok Virenscanner nochmal durchgejagdt nix gefunden. AVG runter Norten360 drauf . fand auch erst nichts . plötzlich doch nen fund trojaner... Ich staunte nicht schlecht als ich sah wo er es gefunden hatte .. es war der curse installer..

soweit so gut system neu aufgesetzt , geärgert das ich panda start verpasse und ab ans iPad um zu schauen obs nen Zufall war. Fand recht schnell ne Antwort. Nein kein Einzelfall aber alles lag weiter zurück.

Alle besagten das es an den Autoinstallern lag und diverse seiten (bzw deren D wohl gehackt wurden.
unter anderem hieß es da Curse (hab ich schmerzlich bemerkt) und auch buffed?! und glaube noch ne andere seite.
Ok thema installer erledigt.

Wollte mir dann heute von buffed Auctioneer runter laden . Schau in den Kommis lese was von keylogger und sehe schon wieder das grauen.



Nun meine Frage an euch.

Welche Addons sind sicher soweit das sie keylogger frei sind? oder alles wieder mehr wind ums ganze geschehen als nötig? will jetzt nich unbedingt wieder alles los sein.
Die Sufu spuckte mir was ähnliches zwar aus aber naja von 2010 wollte keine leiche beleben



LG

Marco

 

[nrg]

Addons oder Plugins können nicht als Keylogger laufen da sie erst nach dem Einloggen gestartet werden. Zudem kann die LUA Schnittstelle von WoW nicht auf das Netzwerkdevice zugreifen. Solange keine .exe in dem Verzeichnis ist kann über Addons nichts passieren und die ist nicht zum Betrieb notwendig.

Ich empfehle dir mal einen Malwarescanner zu nutzen, also Spybot oder AdAware. Gegen die meisten Keylogger helfen Virenscanner nicht.

 

[Zeldur]

Nutzt du für den Curse-Installer das selbige Password wie für WoW? Oder in einigen Foren die gleiche Mailadresse und Password wie in WoW? Hatte seltsamerweise auch nach dem Start von Mop einen Haufen an Phishing-Mails zu Diablo und WoW im Postfach.

 

[Fremder123]

Ich nutze schon recht lange den Curse Client, da es bisher immer hieß er sei sicher. Zudem ist er natürlich komfortabel. Bisher noch keine Probleme gehabt, trotz Online-Banking & Co. Das soll nicht heißen, dass es darum nicht möglich sei, nur halt bisherige eigene Erfahrung.

 

[Trafalgalore]

Ich persönlich nutze seit 1 Jahr WoW matrix für Addons und zum patchen,bis jetzt vollst zufrieden und kann nicht klagen.Habe aber trotzdem zur sicherheit noch n auti zum acc. dazu.
Mir stellt sich jetzt nur die frage wie kamen die bei dir rein trotz authenticator?!Keylogger schön und gut,haben deine addy und pw,aber wie kommen die an deinen Authenticator code?Der is doch jedes mal anders!
Weiß das jmd. interessiert mich tierisch!

 

[nrg]

Es gab schon 3 Wellen wo angeblich Accounts mit Authentificator gehackt wurden. Bis heute wurden alle angeblichen Hacks als falsch entlarvt. Entweder wurde der Authentificator erst nach dem Hack hinzugefügt oder es war erst gar keiner verknüpft. Wenn ich mich ins Battle.net einloggen will um was an meinem Account zu machen muss ich den Authentificator nutzen, selbst wenn ich mich am gleichen Tag mit der gleichen IP schon einmal eingeloggt habe.

Das größte Sicherheitsrisiko ist immer noch der User selbst. Unsichere Passworte sind schon normal und das Passwort wird dann auch noch überall benutzt mit dem gleichen Usernamen und/oder der gleichen emailadresse.

 

[ik4rus]

um gottes willen nein nutze nich pw und mail von curse für wow ) unsicher wars auch nicht bei der masse an sonderzeichen
den auth nutze ich schon seid jahren also auch nich nachträglich eingegeben

@trafa laut gm hätte der hacker alles sehen können was ich auch sehe auf meinem rechner.. dementsprechend auch den key. auf der wiederherstellungsseite konnte ich sehen zb das direkt nach fehlgeschlagenem d3 login auch derjenige in wow war und verkauft/verschickt hat.


Problem is ich bin ja nicht der einzige. meiner nachbarin unterstellte man vor 1-2 monaten sie hätte den auth weiter gegeben ^^

werd mal adaware laden und dann bei buffed die benötigten addons laden .

 

[Fremder123]

@trafa laut gm hätte der hacker alles sehen können was ich auch sehe auf meinem rechner..

Das ginge dann ja aber weit über einen normalen Keylogger hinaus. Unsere Devs auf Arbeit können sich auch bei uns einklicken, dazu bedarf es aber einer speziellen Software. Sollte das bei Dir wirklich der Fall sein, wärst Du schon einem recht umfangreichen "Lauschangriff" zum Opfer gefallen - und dann wäre der Bnet-Acc das kleinste Problem.

 

[ik4rus]

ja dachte ich auch . aber in der zeit wo das geschehen is war eh nix wichtiges offen gott sei dank und das meißte erledige ich eh per pad von daher is nur battle.net betroffen gewesen. wie gesagt der zeigte nen trojaner bei curse an ... naja das habe ich ja hinter mir und alle pw´s ausnahmslos geändert worden

 

[gOOvER]

Ich persönlich nutze seit 1 Jahr WoW matrix für Addons und zum patchen,bis jetzt vollst zufrieden und kann nicht klagen.Habe aber trotzdem zur sicherheit noch n auti zum acc. dazu.
Mir stellt sich jetzt nur die frage wie kamen die bei dir rein trotz authenticator?!Keylogger schön und gut,haben deine addy und pw,aber wie kommen die an deinen Authenticator code?Der is doch jedes mal anders!
Weiß das jmd. interessiert mich tierisch! <img src='http://forum.buffed.de/public/style_emoticons/<#EMO_DIR#>/wink.gif' class='bbc_emoticon' alt='<img src='http://forum.buffed.de/public/style_emoticons/<#EMO_DIR#>/wink.gif' class='bbc_emoticon' alt='' />' />

Omg, WoWMatrix hat verdammt viele Keylogger und sollte eigdntlich langsam hier zensiert werden.

Ausserdem verstösst WoWMatrix gegen Lizenzbestimmungen.

Sowas sollte von keinem vernünftigen Menschen benutzt werden.

Ich nutze Curse seit über vier Jahren und hatte noch nie Virenmeldungen.

Vielleicht sollte man doch etwas Geld ausgeben und sich nicht auf Free AV's verlassen.

 

[Saji]

unsicher wars auch nicht bei der masse an sonderzeichen

Sonderzeichen sind zwar für einen Menschen schwer zu erraten, für einen Computer aber leicht zu knacken wenn das Passwort zwischen 6 und 8 Zeichen lang ist. Aber gegen einen Keylogger, oder in deinem Fall eine mehrere Megabyte große Spionagesoftware, hilft das alles nichts. Interessant ist dann aber trotzdem wie der angebliche Hacker den Authenticator ausgehebelt hat, der Code ist ja nur kurz gültig. Das bedeutet das der Hacker einen erheblichen Aufwand betrieben hat nur um deinen Battle.net Account zu hacken.

Ich vermute die Schwachstelle eher vor dem PC als in Curse.

Edit: in der Regel vergehen zwischen dem Loggen der Zugangsdaten und dem tatsächlichen Hack mehrere Tage, Woche, vielleicht sogar Monate. Es kann durchaus sein das die Daten bereits lange vor dem angeblichen Fund im Curse Client ausspioniert wurden. Ausspähen und ein Hack unmittelbar danach ist eher selten und deutet mehr auf einen gezielten Angriff hin als das man ein Zufallsopfer ist.

 

[ichbinnichtschuld]

der curse client ist im moment sauber, du hast den trojaner definitiv woanders her, der hack ist alt, oder es war kein trojaner sondern nur ein free scanner der curse wegen inet für nen trojaner hält. false-positive

und addons selber können sowieso keine viren/trojaner haben. zieh dir die addons halt von hand von curse, wenn du dem curse installer nicht traust

 

[Malohin]

Alternativ kannst Du auch den buffed-Client (nennt sich Blasc3) nutzen...

 

[DoktorElmo]

Dein Free-Scanner hat vermutlich ausgeschlagen, da der Curse-Installer ein Downloader ist, so wie viele Trojaner auch. Virenscanner , z.B. Avira, funktionieren so, dass sie Dateien nach bekannten Schemata durchsuchen und wenn sie meinen "Ah, dass sieht verdächtig aus!", dann schlagen die auch gern mal Alarm wobei es ungefährlich ist.

Sollte der Trojaner/Stealer/Keylogger wirklich über den Curse-Client gekommen sein, dann haben die Macher dieser Schadsoftware sicher lange damit zu tun, die in dem Fall unzähligen Ergebnisse auszuwerten, dementsprechend würdest du den Hack vermutlich erst Wochen oder gar Monate später bemerken. Ich kann dir also zu 98% Sicherheit sagen, dass der Virus woanders herkam.

Ich würde allerdings raten, keinen Client zu nutzen und die Addons einfach per Hand nach jedem größeren WoW-Patch upzudaten.
Auf wow-interface.com zum Beispiel findet man die Rohdateien immer in der aktuellsten Form und in denen können keine Keylogger sein, da dies bloß .lua Dateien sind.

 

[Matchfighter]

Omg, WoWMatrix hat verdammt viele Keylogger und sollte eigdntlich langsam hier zensiert werden.

Ausserdem verstösst WoWMatrix gegen Lizenzbestimmungen.

wo verstößt wowmatrix denn gegen die lizenzbedingung ? und ist das wirklich so unsicher ?
ich mein ich nutz es nicht. Mache das ganze immer manuell aber kenne ein bis zwei kollegen dies
nutzen und das schon sehr sehr lange ohne Probleme.

 

[Dagonzo]

Nur WO kam der her? System war erst einige wochen zuvor neu gemacht worden von mir war also fast nackig ohne Datenmüll etc.. Bis auf s&f und einigen seriösen seiten war ich auch nirgends drauf (bank, vertrauenswürdige Foren, ebay, Amazon)

ok Virenscanner nochmal durchgejagdt nix gefunden. AVG runter Norten360 drauf . fand auch erst nichts . plötzlich doch nen fund trojaner... Ich staunte nicht schlecht als ich sah wo er es gefunden hatte .. es war der curse installer..

Ich könnte dir noch dutzende andere Programme nennen, wo ein Virenscanner was findet, bzw. es sogar selbstständig wieder löscht. Ein Beispiel wäre das kleine Blizzard-Programm das deine PC-Daten am Blizzard sendet, wenn du ein Betaprofil in deinen Account hinterlegst (um an Betatests teilzunehmen).
Wenn man solche kleinen Programme runterläd muss man diese teilweise in eine Ausnahmeregel im Virenscanner freigeben, damit das Programm nicht gleich wieder gelöscht wird, bevor du es ausführen kannst. Aber es sind keine Trojaner im eigentlichen Sinne.

Wo du es sonst herhaben könntest? Nun Möglichkeiten gibt es da viele. Sicherheitslücken gibt es in Flash, ActiveX, Java, der Browser selbst...usw.
Vielleicht lag es ja gerade daran, dass du das System vorher neu aufgesetzt hast. Vielleicht waren zu dem Zeitpunkt ja auch nicht die benötigten Programme drauf, die es eventuell hätten verhindern können.

 

[Ando2]

WoW Matrix verstösst dahinein gegen Lizenzbedingungen indem es keine eigene Datenbank besitzt sondern von anderen Datenbanken wie zb. Curse zieht ohne die Kosten zu haben und ohne Einwilligung der Urheber.



Deshalb haben schon einige datenbankinhaber die Anbieter von WoWmatrix verklagt sowie einige Endwickler haben sich angeschlossen.

 

[Xidish]

und addons selber können sowieso keine viren/trojaner haben. zieh dir die addons halt von hand von curse, wenn du dem curse installer nicht traust

Ich stimme Dir ja weitgehend zu.
Nur diese Aussage stimmt definitiv nicht.
Vor Jahren holte ich mir manuell eine neue TitanPanel-Version (dachte sie wäre neu).
Dabei enthielt sie einen Trojaner (kein Fehlalarm) - obwohl die Dateien ansich auf den ersten Blick sauber aussahen.
Und es kam nur von dem angeblich "neuen" Titan-Panel, wovon es tatsächlich gar keine neue Version gab.

Ansonsten hatte ich nie Probleme mit Curse.
Ich lass zwar nach Updates suchen (wenn ich den Clienten gestartet habe), downloade und installiere aber nur manuell.
Ich lasse den Clienten nie im Hintergrund laufen und alles automatisch machen.
Und mein Kaspersky untersucht die Downloads automatisch nach Schädlingen.

wo verstößt wowmatrix denn gegen die lizenzbedingung ?

Wie schon gesagt, es hat keine eigene Datenbank.
Es verursacht bei anderen seriösen Anbietern nur hohen Traffic -
und bietet die Downloads auch ohne Einwilligung der Modder an - also kurz und knapp: Datenklau.
So wurde auch WoWAcedotcom sehr geschädigt, welches imo mit die beste AddOnseite war.

 

[Leviathan666]

Die Buffed- und Curse-Clients sind sauber. Bei dir ist es wie bei vielen anderen - ihr habt die Clients nicht von den offiziellen Seiten gesaugt.
Und die Aussage stimmt. Die puren Addons können keine Viren, Trojaner oder Würmer enthalten. Das funktioniert so nicht.