Kompromittierte Accounts - Gefährlicher Trojaner!

[seanbuddha]

Hallöchen!

Derzeit treibt ein Trojaner sein unwesen, der vorallem nutzern des Authenticators zu schaffen macht.
Hier der Bluepost dazu:

Hallo zusammen!

Wir haben kürzlich Meldungen erhalten, dass erneut ein gefährlicher Trojaner in Umlauf ist, welcher vermag, Spieleraccounts selbst dann zu kompromittieren, wenn sie über einen Authenticator geschützt werden. Es handelt sich bei dieser Methode um die bereits bekannte Man-in-the-Middle-Angriffsform, bei welcher der Trojaner in Echtzeit sowohl die Accountinformationen als auch den Authenticatorcode genau in dem Moment abfängt und weiterleitet, in dem sie von euch am Computer eingegeben werden.

Falls euer Account kürzlich kompromittiert wurde, raten wir dringend dazu, nach diesem Trojaner Ausschau zu halten. Er kann durch die Erstellung einer MSInfo-Datei ausfindig gemacht werden, indem ihr in der erstellten Datei unter den Autostart-Programmen nach "Disker" oder "Disker64" sucht. Ein positives Ergebnis sieht für gewöhnlich so aus:

Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup
Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup

Wir suchen gegenwärtig nach weiteren Informationen zu diesem Trojaner. Bislang konnten wir keine Antiviren-Software finden, welche in der Lage ist, diesen Schädling zu entfernen, ohne dabei das gesamte System zu formatieren. Falls euer Account kürzlich kompromittiert wurde und ihr diesen Trojaner über die oben genannte Methode auf eurem System entdecken konntet, antwortet in diesem Thread bitte unter Angabe folgender Informationen:

Eure MSInfo-Systemdatei
Eine Liste jeglicher kürzlich installierter Addons inklusive der Webseite, auf der ihr sie heruntergeladen habt
Eine Liste jeglicher kürzlich installierter Programme inklusive des Ursprungsortes
Jegliche Sicherheitssoftware, die ihr benutzt habt, und was genau das Resultat daraus war


Aus bereits analysierten Meldungen der anderen Forenteile geht hervor, dass in Europa bislang kein gemeldeter Account durch diesen Trojaner kompromittiert wurde. Wir bitten euch jedoch darum, diese Bedrohung dennoch ernst zu nehmen und die Augen offen zu halten. Vorsicht ist besser als Nachsicht!

Was ihr tun müsst um herauszufinden ob euer Pc infiziert ist ist folgendes:
1. Drückt die Windowstaste + R
2. Gebt in das Fenster MSInfo32 ein
3. Bei dem neu erscheinenden Fenster geht auf "Datei" und dann auf "Exportieren..."
4. Nun wird von euch verlangt eine Textdatei zu speichern. Nennt die Testdatei MSInfo und speichert sie auf eurem Desktop
5. Wartet nun einen Moment bis die Datei exportiert wurde. Öffnet sie dann und drückt Strg + F
6. Gebt in die Suche Disker oder Disker64 ein.

Wenn ihr nichts findet, seid ihr sicher und könnt euch einloggen. Wenn ihr infiziert seid, geht auf http://eu.battle.net...opic/9052097556 und gebt folgendes an:

Eure MSInfo-Systemdatei
Eine Liste jeglicher kürzlich installierter Addons inklusive der Webseite, auf der ihr sie heruntergeladen habt
Eine Liste jeglicher kürzlich installierter Programme inklusive des Ursprungsortes
Jegliche Sicherheitssoftware, die ihr benutzt habt, und was genau das Resultat daraus war

Leider gibt es derzeit keine Lösung, aber besser als den Account gehackt zu haben! Aber es gibt auch eine gute Nachricht:
Der Trojaner scheint (bisher) nur Amerikanische Accounts zu betreffen. Dennoch sollte man es nicht unterschätzen!

Grüße
Sean

 

[kaepteniglo]

Ein wenig zu spät

http://www.buffed.de/World-of-Warcraft-PC-16678/News/Achtung-Trojaner-Blizzard-warnt-vor-Disker-1103494/

 

[seanbuddha]

Naja, ich bin vielleicht nicht der einzige der nur ins Forum schaut. Besser nochmal hier als garnicht!

 

[Grushdak]

Danke und ...

Ich schmeiß da gleich mal Folgendes mit ein ...

Als ich Dienstag von Hamburg nachhause kam, mußt ich auch eine neue Version von ?? in meinem e-nail Fach feststellen -
neben einer Phishingmail angeblich von Blizzard Entertainment.

Das Ganze scheint wie ein Schneeballsystem zu funktionieren
Anfangen tut dies so:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

This is a multi-part message in MIME format.

Diese wird weiter unten codiert dargestellt.

Nun folgt eine ellenlange Adressaten-Liste.
Und ich habe davon fast 10 mails bekommen - jedesmal mit einer längeren Liste.

In jedem Fall wird einem vorgegaukelt, man hätte eine e-mail geschrieben, die eben nicht zugestellt werden konnte.

Bei mir steht da bei der angeblich gesendeten mail:
from: "Hogan Online" <meine Adresse>
an: Liste
Dabei fangen alle Adressaten mit info@ an und enden auf .it.

ps.
Hier mal die Absenderauflistungen der betreffenden mails (die ich noch nicht gelöscht habe).

Mail Delivery System
<MAILER-DAEMON@yahoo.it>
<MAILER-DAEMON@mxavas1.aruna.it>
<postmaster@hotmail.com>

Inwiefern das nun was und wie bewirkt habe ich absolut 0 Ahnung.
Weiß da jemand was zu?

pps.
Danke für die Info.

 

[Mayestic]

nennt mich paranoid aber ich lege für jedes forum, jeden onlineshop, jedes browserspiel etc etc ne eigene emailadresse an.
jedes familienmitglied und jeder bekannte hat seine eigene emailadresse unter der quasi nur er/sie mich erreichen kann.
wenn von einer dieser adressen mal spam oder müll kommt ändere ich einfach diese eine emailadresse und muss nicht gleich überall alles ändern.

da ich bei meinem emailanbieter aber nur 15 alias-adressen pro mailaccount anlegen kann hab ich halt vier emailaccounts

aber mal zurück zu beitrag nr. 1
der satz "derzeit treibt ein trojaner sein unwesen, der vorallem nutzern des authenticators zu schaffen macht." stimmt so nicht.
es betrifft uns alle und nicht vorallem nutzer des authenticators.

nur wird klar erklärt das der authenticator als zusätzliche sicherheit ausgehebelt wurde bei diesem trojaner.
du tippst also deinen code ein und der trojaner verschafft sich im gleichen moment mit dem selben code zugang zu deinem account oder aber es wird dir vorgegaukelt das der code unbrauchbar sei, was er aber nicht ist und nun hat der böse bube deine daten und einen authenticator code und kann jederzeit bei dir rein.
spieler ohne authenticator sind keineswegs weniger betroffen bei ihnen hats der trojaner nur noch einfacher.


aber das gabs ja letztendlich alles schon mal.
kurz nach einführung des authenticators kam sowas schon mal.

 

[Fusie]

Na wie es scheint läuft das wohl eher über die Addon Sparte... was mal wieder zeigt, ladet euch nicht jeden neuen Addon Mist direkt herunter.
Ist zwar schon eine weile her, aber gab es da nicht schon einmal so ein Gewürm, das ebenso über den Curse Client (aktuell ja ein Fake Client?) verteilt wurde?

Wie auch immer, würde sagen, wenn man schon Addons will, die Anzahl so gering wie möglich halten und diese besser per Hand herunter laden, genau anschauen und erst wenn man sich sicher ist, installieren.

 

[Grushdak]

Das ist eben noch gar nicht sicher, wie (besser wodurch) der Trojaner auf den PC kommt.
Genau deshalb werden in Meldungen um Angabenlisten zu kürzlich veränderter Software erbeten - Listen von aller Software.

Dennoch stimmt natürlich Deine Aussage zu den AddOns.

ps.
Habe mal eben die obigen Schritte befolgt.
Beide Trojaner-Varianten sind bei mir jedenfalls nicht auffindbar.

 

[Annovella]

nennt mich paranoid aber ich lege für jedes forum, jeden onlineshop, jedes browserspiel etc etc ne eigene emailadresse an.
jedes familienmitglied und jeder bekannte hat seine eigene emailadresse unter der quasi nur er/sie mich erreichen kann.
wenn von einer dieser adressen mal spam oder müll kommt ändere ich einfach diese eine emailadresse und muss nicht gleich überall alles ändern.

Hm, hab seit 1997 oder 1998 die selbe E-Mailadresse und mich mit dieser eben auch bei allem angemeldet, was einem so einfällt. Bekomme aber null (0) Spammails. 1-2x im Jahr ist ein Blizzardfakephishingversuch drin, aber das war es schon. Vllt. habe ich ja einfach nur glück, vorsichtig bin ich aber natürlich auch. So melde ich mich natürlich nicht auf jeder Deppenseite an, sondern nur auf Seiten, die wirklich seriös sind und für mich einen wirklichen Zweck dienen. (Warum bin ich hier nochmal registriert?! )
Grundsätzlich würde ich nie Mails von Blizzard öffnen, egal um was es geht, es sei denn, man hat das PW geändert und es ist nur eine Bestätigungsmail. Dann weiß man ja was kommt.

Na wie es scheint läuft das wohl eher über die Addon Sparte... was mal wieder zeigt, ladet euch nicht jeden neuen Addon Mist direkt herunter.
Ist zwar schon eine weile her, aber gab es da nicht schon einmal so ein Gewürm, das ebenso über den Curse Client (aktuell ja ein Fake Client?) verteilt wurde?

Wie auch immer, würde sagen, wenn man schon Addons will, die Anzahl so gering wie möglich halten und diese besser per Hand herunter laden, genau anschauen und erst wenn man sich sicher ist, installieren.

Genau das predige ich meinen Bekannten auch immer.
Natürlich gibt es - gerade PvE Spieler, die ein schönes Interface haben wollen mit Schickymicky wie Sexymap und so ein Kram. Ich spiel auch lieber ohne oder mit wenigen AddOns und habe auf meinem Curseaccount einfach eine Favoritenliste erstellt, ist fast der gleiche Arbeitsaufwand wie den Curseclient nutzen, nur DEUTLICH sicherer.

 

[Bluescreen07]

Betrifft das nur User mit modifiziertem WOW oder auch User mit Standard-WOW und MAC-Version?

 

[Rabaz]

Wie sich alle für besonders klug halten nur weil sie (noch) nicht betroffen sind.

"Jeder Fehler erscheint unglaublich dumm, solange andere ihn begehen" - Georg Christoph Lichtenberg

Also sie wissen noch nicht mal, womit der runtergeladen wurde. Er funktioniert trotz Authenticator und es gibt oder gab keine Schutzsoftware die ihn erkennt. Es war wohl nicht eine Frage des "genaueren hinschauens" oder ob man eine oder 200 emailadressen hat und schon gar nicht wie viele addons man benutzt, das ist doch dummes Zeug.

 

[Bluescreen07]

Also sie wissen noch nicht mal, womit der runtergeladen wurde. Er funktioniert trotz Authenticator und es gibt oder gab keine Schutzsoftware die ihn erkennt. Es war wohl nicht eine Frage des "genaueren hinschauens" oder ob man eine oder 200 emailadressen hat und schon gar nicht wie viele addons man benutzt, das ist doch dummes Zeug.

Du bist also der Meinung der modifizierte Curse-Client hat eine gültiges Zertifikat - interessanter Ansatz!

 

[Nexilein]

Also sie wissen noch nicht mal, womit der runtergeladen wurde. Er funktioniert trotz Authenticator und es gibt oder gab keine Schutzsoftware die ihn erkennt. Es war wohl nicht eine Frage des "genaueren hinschauens" oder ob man eine oder 200 emailadressen hat und schon gar nicht wie viele addons man benutzt, das ist doch dummes Zeug.

Das stimmt so aber nicht: Scheinbar haben sich die Leute das Ding über eine Software auf den Rechner geholt, die wie der Curse Client aussieht (Quelle), und so etwas ist vermeidbar. Z.B. indem man den CurseClient bei Curse runterläd, und nicht irgend eine CurseClient.exe von irgend einer Seite die Google ausspuckt.
Und auch bei Phishing Mails gilt: Manche fallen darauf rein, andere klicken den Link in der Mail eben nicht an. Und wieder andere bekommen erst überhaupt keine Phishing Mails.


Natürlich kann es theoretisch jeden erwischen, aber solange sich manche besonders dumm anstellen, sind Leute die ein bisschen aufpassen relativ sicher. Das ist wie bei der Sache mit dem Löwen: Du musst nicht schneller laufen als er, es genügt wenn jemand anderes langsamer ist als du.

 

[Annovella]

Hehe, ich finds immer lustig, wenn einige Personen andere als dumm bezeichnet, aber selbst keine Ahnung hat. Begründungen wurden ja schon gepostet.
Und ja, ich halte mich für besonders schlau, denn mein Account ist seit einigen Wochen aus zeitlichen Gründen eingefroren.

 

[Dagonzo]

Das stimmt so aber nicht: Scheinbar haben sich die Leute das Ding über eine Software auf den Rechner geholt, die wie der Curse Client aussieht (Quelle), und so etwas ist vermeidbar. Z.B. indem man den CurseClient bei Curse runterläd, und nicht irgend eine CurseClient.exe von irgend einer Seite die Google ausspuckt.

Es war nicht irgendeine Seite, sondern eine wo auch die Curse-Webseite gefaked ist.

 

[Tikume]

Es war nicht irgendeine Seite, sondern eine wo auch die Curse-Webseite gefaked ist.

Blick auf die URL?

 

[Nexilein]

Blick auf die URL?

Du Nerd

 

[Dagonzo]

Blick auf die URL?

Gibt genug DAU´s im Netz falls dir das noch nicht aufgefallen sein sollte. Die wissen nicht mal was eine URL ist. Und das sind weitaus mehr als es Nerds gibt.

 

[Hosenschisser]

Gibt genug DAU´s im Netz falls dir das noch nicht aufgefallen sein sollte. Die wissen nicht mal was eine URL ist. Und das sind weitaus mehr als es Nerds gibt.

Dem kann man unmöglich widersprechen.

 

[Katzmandu]

Was eine URL ist, weiss ich, aber was ist ein DAU? Dummer, arroganter User?