WoW: Account gekeyloggt trotz Authenticator +++UPDATE: Quellen für den Trojaner gefunden
UPDATE vom 02.03.2010, 10:54 Uhr:
Als eine der Quellen für die Datei emcor.dll wurde inzwischen eine Fälschung der Webseite WoWMatrix.com identifiziert, die zeitweise über Google als Sponsored Link angegeben wurde, wenn Ihr WoWMatrix in die Suche eingegeben habt. Achtung: WoWMatrix.com ist nicht von dem Keylogger betroffen beziehungsweise wird der Keylogger nicht über die Webseite bezogen.
Quelle: worldofraids.com
Vielmehr ließe sich unter WoWMatrixF.com eine exakte Kopie von WoWMatrix.com finden, über die Ihr eine gefälschte Version des Addon-Managers von WoWMatrix herunterladen könntet. Diese würde die als Schadsoftware auf Eurem System installieren und somit einem Angriff auf Euren WoW-Account Tür und Tor öffnen. Google hat den gesponsorten Link inzwischen entfernt, beachtet aber, dass Ihr keine Webseiten besucht, die merkwürdige Anhängsel an die eigentliche URL haben – nutzt da eher Eure Bookmarks und Favoriten.
Außerdem wurden noch weitere Fälschungen von beliebten WoW-Addon-Seiten gefunden. Wie WorldofRaids.com berichtet existieren Kopien von Seiten wie Curse.com (Falsch-URL: cursea.com) oder Kopien von Addonautoren-Webauftritten wie deadlybossmods.com (Falsch-URL: deadlybossmodss.com). Insgesamt sind unter der IP-Adresse 14 verschiedene Adressen registriert, die den Keylogger in gefälschten Addon-Downloads verstecken. Der Trojaner, der beim Ausführen installiert wird, heißt Malware.NSPack.
Achtung: Angesichts der aktuellen Diskussionen um Keylogger und MITM-Attacken möchten wir darauf hinweisen, dass die WoW-Addons, die auf buffed.de angeboten werden, vor jedem Upload auf mögliche Schadsoftware geprüft werden. Außerdem ist BLASC3 selbst sicher und installiert keine Schadsoftware - Ihr könnt BLASC3 auch nur bei uns auf buffed.de herunterladen. Ladet BLASC niemals von anderen Webseiten, sollte Euch unsere Software dort angeboten werden.
--
UPDATE vom 28.02.2010, 11:31 Uhr:
Der Technische Support von Blizzard hat den Bericht von Zarakiteque als Man-in-the-Middle-Angriff bestätigt.
Zitat von Wikipedia.de
"Ein Man-in-the-middle-Angriff (MITM-Angriff), auch Janusangriff (nach dem doppelgesichtigen Ianus der römischen Mythologie) genannt, ist eine Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer steht dabei entweder physikalisch oder – heute meist – logisch zwischen den beiden Kommunikationspartnern und hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren. Die Janusköpfigkeit des Angreifers besteht darin, dass er den Kommunikationspartnern das jeweilige Gegenüber vortäuschen kann, ohne dass sie es merken."
--
Originalmeldung vom 28.02.2010, 10:54 Uhr:
In den englischen WoW-Foren hat der Thread von Spieler Zarakiteque die Aufmerksamkeit der Entwickler von Blizzard gewonnen – laut Zarakiteques Bericht sei es Keyloggern nun auch möglich, sich Zugang zu WoW-Accounts zu verschaffen, die mit einem Authenticator verbunden sind. Die Entwickler untersuchen das Geschehene. Eine offizielle Bestätigung, dass eine Datei namens encor.dll maßgeblich mit dem Angriff auf den Account zu tun hat, gibt es nicht.
Folgendes hat sich ereignet: Das WoW-Programm von Zarakiteque ist mit einem Memory Access Violation Critical Error abgestürzt. Daraufhin wollte sich Zarakiteque wieder einloggen, was ihm aber unmöglich war. Angeblich handelte es sich bei Passwort und Authenticator-Code um falsche Angaben – er versuchte mehrere Male, im Spiel auf seinen Account zuzugreifen, allerdings ohne Erfolg. Daraufhin suchte Zarakiteque die Account-Management-Seite auf, um sich dort einzuloggen. Der Versuch schlug mit der Begründung fehl, dass mehrfach ein falscher Authenticator-Code eingegeben wurde und der Authenticator deswegen vorerst gesperrt wäre. Zarakiteque hat daraufhin seinen PC überprüft und die verdächtige Datei emcor.dll gefunden, die sich in dem Pfad Benutzer/Benutzername/appdata/Temp versteckt hielt, und die von sich aus einen Systemeintrag erstellt hat. Nachdem der Spieler die Datei in Quarantäne gestellt und entfernt hat, konnte er sich wie üblich in WoW einloggen – der Authenticator selbst war weder geblockt noch vom Account entfernt. Allerdings waren die Taschen von Zarakiteques Charakteren leergeräumt. Dazu versichert der Spieler, dass sein Authenticator niemals in die Hände anderer gelangt wäre und er habe sich nur daheim an seinem eigenen PC in WoW eingeloggt.
Die Datei emcor.dll wurde im Zeitraum zwischen dem 24.02.2010 und dem 25.02.2010 zum ersten Mal gefunden. Der Technische Support von Blizzard nimmt den Bericht und die Datei unter die Lupe. Woher Zarakiteque die .dll-Datei hat und was genau sie macht, ist noch unklar. Allerdings haben sich inzwischen auch andere Spieler gemeldet, die die gleichen Erfahrungen wie Zarakiteque machen mussten.
Sollte der Bericht den Tatsachen entsprechen, würde das Folgendes bedeuten: Die Malware würde nicht den Authenticator deaktivieren, sondern Euch vorgaukeln, dass Ihr falsche Daten an die WoW-Server gesendet hättet. Da die Codes des Authenticators mindestens 30 Sekunden lang aktiv sind (gemäß dem Fall, sie werden nicht genutzt), hätte der Keylogger ausreichend Zeit, sich in Euren Account einzuloggen und die Taschen der Charaktere zu räumen.
Verwandte Artikel
![WoW: 64-bit-Client bringt geringe FPS-Verbesserungen und minimale Ladezeitenverkürzung [Test des Tages]](/screenshots/teaserw160/2012/01/WoW_2012-01-10_10-12-20-67.jpg)
![WoW: Transmogrifikations-Sets der buffed-Leser - coole Helden-Stylings [Bilder des Tages]](/screenshots/teaserw160/2012/01/WoW_Transmog_Yarvalla.jpg)
heres the link:___________________
das kam mir ziemlich komisch vor da blizzard eigentlich nie sone kurz gebundene mail ohne begrüßung oder ähnliches schreib was mir dann aber doch sorgen bereitet hat die wussten meinen acc namen hab alles gleich geändert achja hab dann auch bemerkt im link stand der normale link nurs statt warcraft warcralt was wirklich kaum auffällt wenn man nich drauf achtet
achja das selbe ham sie auch bei meim aion acc versucht mim genau gleichen text SCHWEINE!
250 Einträge vor mir...: sry hab nich die Zeit die zu lesen.
bin aba froh dass ich mir das nich geholt hab! und froh dass es "passiert" is, weil nur so wird den Leuten klar dass NICHTS SICHER IS!
und bald schon solls n Perso geben mit dem man sich dann "eindeutig" im Internet (wie z.B. Behörden, banken etc.) ausweisen bzw. identifizieren kann...
Was wäre wenn der schon millionenfach verteilt würde, und erst dann von mehr oder weniger "kriminellen Elementen" z.B. ausgelesen & kopiert, gehackt, verändert, falsche IDs erstellt, reale- oder Fantasie-IDs für Verbrechen / jmd. etwas "anhängen" & erpressen, Konten ausplündern, oder zumindest auf Kosten anderer shopping zu betreiben usw. usf.... - da liesse sich noch vieles mehr mit "anstellen"......
Ne hat es nicht! Man findet nach wie vor den Link im Suchfenster an erster Stelle!
http://www.google.de/#hl=de&source=hp&q=wow+matrix&btnG=Google-Suche&meta=&aq=f&oq=wow+matrix&fp=8a55a06f315d52e1
Ich arbeite seit über 20 Jahren an Computern und seit mehr als 15 Jahren im "Internet" und irgendwann hat es JEDEN erwischt, ganz egal warum, aber Spinner wie du glauben eben immer, sie wären "besser", ROFL.
Ich sag nur "kreditkarten in USA" dort haben auch welche die Codes geknackt , obwohl man die für "sehr sicher " gehalten hat...
Wird nicht lang dauern bis sich so Spaßvögel mal rannmachen und die Codes knacken....
War aber irgendwie klar das sowas auch noch kommt.
Und was die sooo vernünftigen Leute hier angeht: Es gibt schon sehr viele Möglichkeiten, wie man sich etwas "einfangen" kann. Das hat oft nicht mit Unvorsichtigkeit, Blödheit oder Naivität zu tun. Die Überheblichkeit zu meinen, dass einem sowas garantiert NIE passieren kann, ist schon oft genug von der Wirklichkeit eingeholt worden, nur ich hege meine Zweifel, dass dann einer von den dann Betroffenen noch den Mumm hat, hier zu posten....