Virus beim Addon Download auf Buffed -> Information

[mäh82]

Heute wollte ich bei Buffed aktualisierte Versionen meiner addons herunterladen. Dabei musste ich folgendes feststellen. Und zwar passiert es unabhängig davon welches addon ich downloaden möchte das mein Virenscanner (F-Secure Internet Security 2011) einen Trojaner erkennt.

Zum Ablauf:

1. Addon auswählen
2. Auf den Download Link klicken
3. Popup Fenster öffnet sich mit Werbung und dem Hinweis das der Download in 10sec beginnt
4. Der Download beginnt nach 10sec. Es wird aber nicht das gewünschte addon downloadet wie z.B. decursive.zip sondern eine Datei namens wow_addons.zip die eine wow_addons.exe erhält welche wohl weiter Dateien im Gepäck hat einschließlich des Trojaners
5. Bei versuchen mit anderen addons immer der selbe Ablauf 10sec verstreichen und es folgt die wow_addons.zip

Anders sieht es aus wenn ich die 10sec nicht abwarte sondern auf bla bla bla sollte der Download nicht funktionieren klicken sie hier klicke. Dann erhalte ich zumindest augenscheinlich die gewünschte Datei.

Meine Frage hierzu nun ist die ein bekanntes Problem ? (In den Foren konnte ich hierzu mit der Forensuche nichts finden bzw. hatte ich bei Buffed in der Vergangenheit keine Probleme dieser Art)

Das Problem tritt unabhängig vom Browser oder System auf. Ein Kollege den ich aufgrund des Problems darum bat dies selbst auch zu versuchen musste dasselbe Problem bei sich feststellen.

 

[Tikume]

Fehlalarm

 

[kaepteniglo]

Scheinbar kein Fehlalarm.

Es erfolgt eine Weiterleitung auf ein Forum bei canadianparents[dot]com.

Hier der Screenshot von Kaspersky
[attachment=12591:canadianparentsjpg.jpg]

Die Werbung, welche vorher angezeigt wird, ist unterschiedlich (VW Passat, eine 9/11 Doku, etc.)

 

[Tikume]

Der Download ist ok, das habe ich gecheckt

Wo ihr landet wenn ihr aus 200 Quellen Javascript erlaubt mag was anderes sein.

 

[kaepteniglo]

Wenn man auf den Link klickt, der erscheint ist der Download auch bei mir ok. Aber wenn man 10sek wartet und der Download dann starten soll, wird man nicht korrekt weitergeleitet.

 

[Tikume]

Und wegen sowas blocke ich javascript und klicke

 

[dummesbrot]

Hallo zusammen,

weiß nicht wohin damit, glaube aber hier wird am meisten gelesen.

Die buffed-Seite ist wohl gehackt worden, weil wenn man unter WoW Addons sich das Addon NPC Scan runterzieht, zieht man sich einen Trojaner!

Anstatt NPC Scan zieht man folgende Datei wow_addon.zip, die sich beim entpacken in wow-exe ändert. Kann also sein das es auch andere Addons betrifft!

Beim nächsten Einloggen, kommt man nicht mehr auf den Acc. Es erscheint eine Fehlermeldung, das die eingegeben Daten nicht stimmen. Diese Daten des einloggens werden sofort hintenrum an den Hacker

versandt (man-in-the-middle-attack), der sich sofort einloggt und euren Acc leerräumt, trotz Authenticator!!!

Ist mir heute morgen passiert

Kann man hier eig i-wo ein Ticket erstellen um das direkt zu melden?

Hoffe ihr bleibt verschont und man reagiert hier seitens buffed.de direkt

Gruß und schöne Ostern euch Allen

 

[mäh82]

Hmmm.... Bei mir hat der Virenscanner das direkt abgefangen bzw. eine mögliche Installation verhindert.

Hast du dich schon bei Blizzard gemeldet ??


Ich denke der Beitrag im Forum sollte ausreichen ansonsten hast du ja noch die Möglichkeit eine Mail direkt an den Buffed Support zu schicken support@buffed.de

 

[ZAM]

Information zum Angriff auf Computec-Seiten.

Wie wir dank Eurer Hinweise rasch analysieren konnten,gab es zum Freitag einen Hackerangriff auf diverse Seiten unseres Verlags. Dabei haben die Angreifer dafür gesorgt, dass Teile der Download-Auslieferung manipuliert wurden, so dass neben den eigentlichen Downloads zusätzlich eine im Zip-Format gepackte Datei mit einen Keylogger namens "wow_addons.zip" heruntergeladen wurde. Auch einige bestehende Download-Dateien wurden mit dem Keylogger ersetzt. Diese Änderungen haben wir bereits wieder rückgängig gemacht. Bei aktivierten Virenscannern besteht jedoch keine Gefahr. Zudem haben die Angreifer versucht unsere Server zu kontrollieren. Die Ursachen haben wir mittlerweile entfernt. Weiter Zugriffe oder Angriffsversuche sind nicht auszumachen. Jedoch analysieren wir auch weiterhin die Vorgänge und haben Maßnahmen eingeleitet, um weitere Schadversuche zu unterbinden. Solltet Ihr keinen Virenscanner nutzen und seit Freitag Dateien von unseren Seiten bezogen haben, ist dringend zu empfehlen, einen Virenscanner einzusetzen bzw. zu installieren und einen Scan laufen zu lassen. Wer einen aktualisierten Virenscanner im Einsatz hat, wurde sehr sicher bereits dadurch geschützt und auch informiert.

Wir bitten die Unannehmlichkeiten und Antwort-Verzögerung zu entschuldigen. Wir haben uns jedoch vorrangig um die Bereinigung gekümmert. Bei Fragen können wir sie hier noch beantworten oder unter cccadmin [at] computec.de

 

[Mazz]

Was ist denn mit den Dateien "MMO-Addon.exe", die jetzt bei den ganzen Addons stehen? Ich finde es komisch, dass es Anwendungen und keine Zips sind und bei unterschiedliche Addons dennoch die gleichen Dateinamen haben.

 

[dummesbrot]

Was ist denn mit den Dateien "MMO-Addon.exe", die jetzt bei den ganzen Addons stehen? Ich finde es komisch, dass es Anwendungen und keine Zips sind und bei unterschiedliche Addons dennoch die gleichen Dateinamen haben.

Habe es auf einem anderen Rechner ausprobiert, bei dem Addon Recount bzw. MMO-Addon.exe handelt es sich wieder um einen Trojaner, also Finger weg.

 

[Mazz]

Irgendwie dachte ich mir das schon. Danke für die Bestätigung.

 

[ZAM]

Leider wurde etwas übersehen und dadurch waren noch ein paar Dateien kompromittiert. Mittlerweile haben wir bis zum letzten Punkt die Angriffe zurückverfolgt und die Tür soweit dicht gemacht. Jedoch beobachten wir sehr genau was auf den Servern geschieht und scannen permanent auf mögliche Aktivitäten. Wer sich jedoch unsicher ist, dem steht es natürlich frei, sich seine Add-ons anderweitig zu besorgen. Wir halten Euch über Fortschritte zu dem Thema natürlich auf dem laufenden und entschuldigen uns bei allen Geschädigten.

Wichtiger Hinweis: Wir bieten grundsätzlich keine Add-on-Dateien mit der Endung "exe" an. Auch enthalten die von uns bewusst bereitgestellten Zip-Dateien keine EXE-Dateien. Sollte so etwas in den Downloads (bereits heruntergeladen) zu finden sein, handelt es sich um eine kompromittierte Datei. Jeder aktuelle Virenscanner erkennt zudem die falschen Dateien.

 

[Dawntide]

Hallo,

Ich habe in den letzten 30 Minuten mehrmals diese Virus Meldung von GData bekommen. Da GData eines der zuverlässigsten und besten Antiviren Programmen ist, scheint es keine Fehlmeldung zu sein.

Virenprüfung von Web-Inhalten

Adresse: wowdata.buffed.de
Virus: Exploit.Java.CVE-2012-0507.N (Engine A), Java:CVE-2012-0507-C [Expl] (Engine
Status: Der Zugriff wurde verweigert.

Diese Meldung erscheint auch, wenn ich garnicht auf buffed oder sonstigen World of Warcraft Seiten bin!

MfG Dawntide

 

[Tikume]

Jeder Virenscanner kann Fehlermeldungen bringen. Ich empfehle dir NoScript. javascript suckt.

 

[Dawntide]

Das löst aber noch lange nicht das Problem. NoScript nervt, da man alles einzeln freigeben muss.

 

[E.o.B]

Ich stimme da voll zu. Irgend etwas ist da faul im Staate Buffed.
Sobald ich mir die "Spaß zu später Stunde..." Seite öffne, fängt M. S. Essentials den oben genannten Schädling ab. Wenn ich mir dabei die Processe anschaue die der Browser, bei mir Firefox, anlegt sieht das nicht grade gesund aus. (Hauptsächlich Java Dinge)
Dabei wird noch versucht etwas per DOS-Shell auf Systemebene zu starten.
Mit deaktiviertem Javascript im Browser, wie anders zu erwarten, keine Probleme.

 

[Nestril]

Seit gestern bekomme ich jedesmal die Virenmeldung von GData ausgespuckt wenn ich eure Seite besuche.

Virus: Exploit.Java.CVE-2012-0507.N (Engine A), Java:CVE-2012-0507-C [Expl] (Engine

Die Addresse die er mir dazu ausspuckt und verweigert ist: wowdata.buffed.de

Ich weiß das Java Lücken hat, allerdings hab ich bei meinem das neuste gezogen um die Lücken zu schließen.

Grüße
Nestril

 

[DJSinclair]

Hallo ich kann dich in der hinsicht beruhigen das du nicht alleine diese Meldungen bekommst.<br>Ich bekomme diese Meldungen von Microsoft Security Essential und Malwearbytes auch.
Exploit:Java/CVE-2012-0507.DDiese Meldung kommt bei mir sofort wenn ich die Seite von Buffed aufrufe.
Desweiteren hatte ich schon versucht Zam vor ca.einer Woche in einer Mail mitzuteilen, dass wenn man unter WOW ADD Ons, z.b. Bartender4 oder WIM Downladen möchte,
sich ein Virus aufplopt der sich PWS:Win32/Wowsteal.BC; nennt.
Leider kam bisher keine Reaktion auf meine Mail, wo man mir hätte bestätigen können, dass<br>man sich dieser Sache angenommen hätte.