Keine addons von curse ! Keylogger

Status
Für weitere Antworten geschlossen.
RasDvaTri schrieb:
Ich frage mich seit langem wie es geht das so viele Leute gehacked werden. Und mir kam auch in den Sinn das es womöglich die Addons sind!

Übrigens super das du uns bescheid sagst!
top.gif
Zum Vergrößern anklicken....

das ist ja der grund... ich selber habe noch unzähligen spielern im wow-europe forum ans herz gelegt ihre antiviren programme etc. zu updaten.. und das es nur möglich ist wenn man seine daten weitergibt oder man sich nen download virus einfängt.... aber ich wurde ja heute morgen belehrt.... es reicht ja mitlerweile schon aus sich ne homepage anzugucken ohne irgendwo draufzuklicken... dank adope sicherheitslücken usw.... naja wird mir immer ein mysterium bleiben... aber aufgrund des fundes bei den addons und bei anderen leuten auch denke ich es sind die addons....

würde man wissen woran es liegt wäre das ganze thema wow hack vorbei.....
 
Noch immer fleisig am schreiben hier? Hehe wie oft kommts wohl noch zu solchen Beiträgen wo der Name Keylogger,Curse,wowmatrix etc. vorkommen
sad.gif

Aber lustig ist es immer wieder alles durch zu lesen
smile.gif


Schönes WE Euch und frohes Account sichern :o
 
So,

die AddOns dürfen lt. Blizzard keinen ausführbaren Code enthalten, d.h. sie dürfen nicht gestartet werden.
Alle AddOns die ich so kenne, sei es bei Buffed oder bei Curse, beinhalten keine ausführbaren Dateien.
Packt man diese also aus und schiebt diese Dateien in das AddOn Verzeichnis so wird, auch aus versehen, keine ausführbare Datei gestartet..
Jedes Programm welches etwas machen will, sei es Tastaturabfragen zustarten oder etwas zu verändern, muss gestartet werden um diese Operation durchzuführen, bloßen hineinkopieren bewirkt nichts.
DLL-Dateien beinhaltzen keinen selbstausfühbaren Code, sondern sind Routinen die von einer anderen Stelle aus gestartet werden können.
Ein Trojaner kann nur um aktiv zu werden, gestartet werden, wie dieses geschieht ist eine andere Sache, z.b. Virtual Basic Routinen, Word Dateien usw.
Dann wird die Schadroutine aktiv und es werden diverse Sachen im Betriebssystem Kernel verändert, diese Veränderungen bewirken dann ein Aufruf der DLL-Datei.

Also Fazit - nur durch herunterladen und kopieren kann man kein Aufruf des Trojaners durchführen !

Benutzt man allerdings Third Party Programme, wie den Curse Client, so gibt man die Gewalt über die Installation an den Client komplett ab und es besteht die Möglichkeit im Hintergrund Schadcode nachzuladen und auszuführen.
So eine Aktivität müßte der Virenscanner allerding erkennen und Alarm schlagen - Kaspersky z.b. meldet sich immer wenn der Curse Client etwas durchführt und man muss dieses bestätigen.
Es kann also sein das dein Curse Client tatsächlich befallen ist, wie auch immer dieses geschehen ist, und dann deinen Trojaner installierte und ausführte.
Der Curse Client von der offiziellen Seite besitzt zumindest keine Routine zum Nachladen schadhafter Sachen.

Wie also der Trojaner zu dir kam kann man nur vermuten, nicht jedoch nachvolziehen und beweisen, nur von der die angegeben Quelle und nach deiner Vorgehensweise, kann es so nicht passiert sein.

Das es einige Seiten gibt die WOW AddOns anbieten und bei deren Aufruf dann durch Lücken im InterNet Explorer Trojaner reinkommen und sofort gestartet werden ist hinreichend bekannt.
In diesem Falle kann der Virenscanner meistens wenig bewirken, es handelt sich um AxtiveX Aufrüfe aus dem Internet Explorer, meldet der Scanner es, ist der Trojaner schon drin.
In so einem Fall kann man nur den Internet Explorer umkonfigurieren, nur macht das keiner da ohne ActiveX heute nichts mehr auskommt. Firefix ist aber auch nicht besser.....

Die Probleme sind aber nicht nur bei den Benutzer zu suchen, sondern auch bei den Programmierern. Will man sein System sicher machen und div. Teile im Internet Explorer deaktivieren, so kann von ein Surfen nicht mehr die Rede sein, denn Seiten lassen sich kaum noch aufrufen, werden verstümmelt angezeigt, Fehlermeldungen ect. - also läßt man es und öffnet so Tür und Tor für die Bösewichte......
 
Elathar schrieb:
Ich habe ja vorhinn da mein account gehackt wurde mit dem support telefoniert und nun wurde alles behoben un dmein gold und eq wird mir per post geschickt von den gms... und nun sind wir auf was komisches gestoßen was auch den rechnungssupportler verblüffte


den keylogger den ich mir einfang stammte von der bekannten wow addon seite www.curse.com/default.aspx


ich habe folgende programme runtergeladen welche infiziert waren....

bartender 4 questhelper pittbull frames gatherer recount omen deadly boss mod sexy map fortexorcist


name des keyloggers ist xml_inc.dll ist
Trojaner TR/PSW.Wow.uml in xml_inc.dll

sowie auch im windows temp ordner...
Zum Vergrößern anklicken....

Ich sags mal so... (sorry aber muss sein
biggrin.gif
) Verkackt!!
Ich hatte mit der Seite NIE ein Problem hab auch denn Curse Client und es ist NIX Passiert sorry aber da muss was anderes dahinter stecken.
 
Wohl die häufigste Einfallschleuse für Viren sind veraltete Programme auf dem PC des Users. (z.b. veraltete Flash-Software für den Browser)

Wer das auf die schnelle Prüfen will, kann z.B. den Update Checker verwenden http://www.filehippo.../updatechecker/

Der Link ist btw. virenfrei ^^ Wenn ihr dem nicht traut, könnt ihr aber gerne auch z.B. ein Programm mit identischer Funktion von Heise nehmen.
 
Zuletzt bearbeitet von einem Moderator:
Agrimor schrieb:
Wohl die häufigste Einfallschleuse für Viren sind veraltete Programme auf dem PC des Users. (z.b. veraltete Flash-Software für den Browser)

Wer das auf die schnelle Prüfen will, kann z.B. den Update Checker verwenden http://www.filehippo.../updatechecker/

Der Link ist btw. virenfrei ^^ Wenn ihr dem nicht traut, könnt ihr aber gerne auch z.B. ein Programm mit identischer Version von Heise nehmen.
Zum Vergrößern anklicken....

http://www.heise.de/security/dienste/Der-Scan-869077.html


echt super... man sieht echt alle veralteten programme auf seinem pc..
 
Nur weil man Moderator ist muss man hier nicht Gott spielen ...

Finde den beitrag des ersten Moderators auch lächerlich sowas schreiben höchstens Kleinkinder....

Außerdem seit doch wenigstens froh das er euch warnt ihr solltet mal son Teil drauf haben....

PS: Wer diesen Beitrag löscht hat kleine e**s !
 
Paladom schrieb:
Versteht doch, ein Hinweis oder Tip wären gewsen:

Er hat jedoch geschrieben, dass in all seinen aufgelisteten beim Namen benannten AddOns Keylogger stecken und dass curse.com die Schuld tragen muss. Anders ist nicht möglich. Was meinst du was hier los gewesen wäre, wenn er das über buffed.de gesagt hätte. Auweia, er wäre in der Luft zerissen worden. Und das auf wahrscheinlich jetzt schon 30 Forenseiten.
Zum Vergrößern anklicken....
Na mein Gott, ich seh grad durchs Fenster Gebäude einstürzen und die Welt gleich untergehen, weil DIR die Worte eines anderen nicht passen. Stehst Du in irgendeinem Zusammenhang mit curse oder den Addons oder warum machst Du hier so einen Wind?!

Schließe mich hier einigen anderen an: Der TE hats gut gemeint und auf ein SEINER MEINUNG NACH BESTEHENDES PROBLEM/ GEFAHRENPOTENZIAL hingewiesen. Ist voll okay und und für uns, die wir alle mal Betroffene sein können hilfreicher, als wenn hier noch wer vollkommen offtopic irgendwelchen Schiet von wegen "Rechtsverletzung", "Üble Nachrede" oder dergleichen daher schwadroniert.
scenic.gif
 
Carcharoth schrieb:
Authenticator kaufen & Virenscanner installieren.
Problem gelöst.
Zum Vergrößern anklicken....


Ahh kk, das ist eure Art, widersprüchliches aufzudecken. BAM zack zack zack BAM, und aufgedeckt, oder wie?
Euch müsste doch mittlweile auch aufgefallen sein, dass nicht nur die Buffeduser gerne mit der Bazooka ins Zimmer fallen. Bis einer weint und dann auf nett und zuvorkommend machen "Wir wollten ja nur...."...schon klar.

@ TE
Thx für die Info, werde die Tage mal curse.com beobachten. Wollte mir heute das neu DBM und Atlas laden, aber das werde ich wohl auf ein paar Tage verschieben, oder direkt vom Betreiber runterladen.
 
Zuletzt bearbeitet von einem Moderator:
Rodanold schrieb:
Hmhmhm.... also braucht man HiJack-This und co. doch nicht. Werd das den Jungs mal erzählen. Entweder die schmeißen sich vor lachen auf den Boden oder kündigen ihre
freiwillige Hilfe auf.
Zum Vergrößern anklicken....

Wo habe ich geschrieben, dass man HJT nicht braucht? Oder wo habe ich es auch nur erwähnt?
Ich habe geschrieben, dass die dll-Datei erkannt werden kann. Der vom TE genannte TR/PSW.Wow.uml ist z.B. von Avira vergeben worden, also sollte Antivir auch die dll erkennen.

wie klein der Unterschied zu verschiedenen kostenfreien Tools ist
Zum Vergrößern anklicken....
Vergleichen wir doch mal Antivir mit meinem Lieblingsprogramm Norton
wink.gif

Jetzt gibt es einen neuen Trojaner den weder Antivir noch Norton erkennen; nehmen wir mal den hier, den ich letzte Woche im WoW-Forum gefunden habe: http://www.virustotal.com/de/analisis/9987746fabc62dd863c1592f9d47003e0c7ae103913569a375e18e478dd43222-1263630842
Führen wir den Trojaner auf einem "Antivir-PC" aus, ist der PC infiziert. Das selbe bei dem "Norton-PC", Norton verhindert die Ausführung und der PC ist geschützt.
Ich meine du schreibst das 90% nicht durch Signaturen sondern durch verhaltensbasierte Methoden erkannt werden, wo ich dir auch vollkommen zustimme, aber dann benutzt du Antivir?
 
Wenn man für sollche Sprüche als Moderator kohle bekommt will ich den Job auch -.- peinlich....
 
Ausserdem @ Moderatoren, liegt es nicht am TE euch zu beweisen, dass er Recht hat. Ihr könnt ihm glauben oder nicht. Wenn IHR der Meinung seid, es stimmt nicht, dann beweist doch das Gegenteil, oder aber wollt ihr im offiziellen Forum nicht suchen bzw seid damit beschäftigt User per dreizeiler abzuspeisen?
Kann ja sein, das TE zu dünn informiert hat, aber er muss sicherlich niemanden überzeugen.
 
Zuletzt bearbeitet von einem Moderator:
Genomchen schrieb:
Ausserdem @ Moderatoren, liegt es nicht am TE euch zu beweisen, dass er Recht hat. Ihr könnt ihm glauben oder nicht. Wenn IHR der Meinung seid, es stimmt nicht, dann beweist doch das Gegenteil, oder aber wollt ihr im offiziellen Forum nicht suchen bzw seid damit beschäftigt User per dreizeiler abzuspeisen?
Zum Vergrößern anklicken....

Der TE sagte, dass er auf eine gefakte Login-Seite kam. Jetzt wurde er gefragt, wie er dahin kam. Wie bitte sollen die Moderatoren das recherchieren?
 
Zuletzt bearbeitet von einem Moderator:
Ausserdem @ Moderatoren, liegt es nicht am TE euch zu beweisen, dass er Recht hat. Ihr könnt ihm glauben oder nicht. Wenn IHR der Meinung seid, es stimmt nicht, dann beweist doch das Gegenteil, oder aber wollt ihr im offiziellen Forum nicht suchen bzw seid damit beschäftigt User per dreizeiler abzuspeisen?
Blâckskull Deathknight Tank
Zum Vergrößern anklicken....


/sign


Ich dachte Moderatoren wären dazu da das im forum kein mist geschrieben wird und nicht um unnütze sprüche abzulassen und dann den admin zuholen und zu whinen das es nur zur hilfe war...


Die beitrage hier gehören normal auch nicht ins Forum aber wenn man einen Moderator flame tread aufmacht dann ziehen sie die eier zusammen und löschen ihn wieder armes armes buffed ihr seit so komerz xD
 
Carcharoth schrieb:
Authenticator kaufen & Virenscanner installieren.
Problem gelöst.
Zum Vergrößern anklicken....


stimm ich voll und ganz zu. ich benutz seit langem curse, vor 2 wochen hab ich den ersten virus dort gesehn. wurde aber schon im runterladen gekillt.

ich möchte noch meinem virenscannerhersteller danken, und allen die das ermöglicht haben. ^^
 
Genomchen schrieb:
Ausserdem @ Moderatoren, liegt es nicht am TE euch zu beweisen, dass er Recht hat. Ihr könnt ihm glauben oder nicht. Wenn IHR der Meinung seid, es stimmt nicht, dann beweist doch das Gegenteil, oder aber wollt ihr im offiziellen Forum nicht suchen bzw seid damit beschäftigt User per dreizeiler abzuspeisen?
Kann ja sein, das TE zu dünn informiert hat, aber er muss sicherlich niemanden überzeugen.
Zum Vergrößern anklicken....
Öhm, ich wollte nur wissen wie genau das passiert ist... immerhin redet der TE mal von Dateien auf seinem Rechner, dann von einer gefakten Loginseite und wenn ich dann nachfrage wird mir gesagt ich würde nicht genau nachlesen, geantwortet wurde mir jedoch nicht.

Dankbar bin ich schon für Warnungen, jedoch sehe ich im Moment keine Schuld bei Curse und deswegen stehe ich der Warnung eben sehr skeptisch gegenüber.
 
Authenticator kaufen & Virenscanner installieren.
Problem gelöst.
Zum Vergrößern anklicken....

Das ist nicht verletzend sondern nur blöd.
Ein gleicher satz wäre z.b.

HIHIHI zum Glück hab ich keinen und wenn ich ein hätte wäre er weg weil blablabla
 
Status
Für weitere Antworten geschlossen.
Oben Unten
Zurück