WoW: Account gekeyloggt trotz Authenticator +++UPDATE: Quellen für den Trojaner gefunden

UPDATE vom 02.03.2010, 10:54 Uhr:
Als eine der Quellen für die Datei emcor.dll wurde inzwischen eine Fälschung der Webseite WoWMatrix.com identifiziert, die zeitweise über Google als Sponsored Link angegeben wurde, wenn Ihr WoWMatrix in die Suche eingegeben habt. Achtung: WoWMatrix.com ist nicht von dem Keylogger betroffen beziehungsweise wird der Keylogger nicht über die Webseite bezogen.

Quelle: worldofraids.com

Vielmehr ließe sich unter WoWMatrixF.com eine exakte Kopie von WoWMatrix.com finden, über die Ihr eine gefälschte Version des Addon-Managers von WoWMatrix herunterladen könntet. Diese würde die als Schadsoftware auf Eurem System installieren und somit einem Angriff auf Euren WoW-Account Tür und Tor öffnen. Google hat den gesponsorten Link inzwischen entfernt, beachtet aber, dass Ihr keine Webseiten besucht, die merkwürdige Anhängsel an die eigentliche URL haben – nutzt da eher Eure Bookmarks und Favoriten.

Außerdem wurden noch weitere Fälschungen von beliebten WoW-Addon-Seiten gefunden. Wie WorldofRaids.com berichtet existieren Kopien von Seiten wie Curse.com (Falsch-URL: cursea.com) oder Kopien von Addonautoren-Webauftritten wie deadlybossmods.com (Falsch-URL: deadlybossmodss.com). Insgesamt sind unter der IP-Adresse 14 verschiedene Adressen registriert, die den Keylogger in gefälschten Addon-Downloads verstecken. Der Trojaner, der beim Ausführen installiert wird, heißt Malware.NSPack.

Achtung: Angesichts der aktuellen Diskussionen um Keylogger und MITM-Attacken möchten wir darauf hinweisen, dass die WoW-Addons, die auf buffed.de angeboten werden, vor jedem Upload auf mögliche Schadsoftware geprüft werden. Außerdem ist BLASC3 selbst sicher und installiert keine Schadsoftware - Ihr könnt BLASC3 auch nur bei uns auf buffed.de herunterladen. Ladet BLASC niemals von anderen Webseiten, sollte Euch unsere Software dort angeboten werden.

--
UPDATE vom 28.02.2010, 11:31 Uhr:
Der Technische Support von Blizzard hat den Bericht von Zarakiteque als Man-in-the-Middle-Angriff bestätigt.

Zitat von Wikipedia.de

"Ein Man-in-the-middle-Angriff (MITM-Angriff), auch Janusangriff (nach dem doppelgesichtigen Ianus der römischen Mythologie) genannt, ist eine Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer steht dabei entweder physikalisch oder – heute meist – logisch zwischen den beiden Kommunikationspartnern und hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren. Die Janusköpfigkeit des Angreifers besteht darin, dass er den Kommunikationspartnern das jeweilige Gegenüber vortäuschen kann, ohne dass sie es merken."

--
Originalmeldung vom 28.02.2010, 10:54 Uhr:
In den englischen WoW-Foren hat der Thread von Spieler Zarakiteque die Aufmerksamkeit der Entwickler von Blizzard gewonnen – laut Zarakiteques Bericht sei es Keyloggern nun auch möglich, sich Zugang zu WoW-Accounts zu verschaffen, die mit einem Authenticator verbunden sind. Die Entwickler untersuchen das Geschehene. Eine offizielle Bestätigung, dass eine Datei namens encor.dll maßgeblich mit dem Angriff auf den Account zu tun hat, gibt es nicht.

Folgendes hat sich ereignet: Das WoW-Programm von Zarakiteque ist mit einem Memory Access Violation Critical Error abgestürzt. Daraufhin wollte sich Zarakiteque wieder einloggen, was ihm aber unmöglich war. Angeblich handelte es sich bei Passwort und Authenticator-Code um falsche Angaben – er versuchte mehrere Male, im Spiel auf seinen Account zuzugreifen, allerdings ohne Erfolg. Daraufhin suchte Zarakiteque die Account-Management-Seite auf, um sich dort einzuloggen. Der Versuch schlug mit der Begründung fehl, dass mehrfach ein falscher Authenticator-Code eingegeben wurde und der Authenticator deswegen vorerst gesperrt wäre. Zarakiteque hat daraufhin seinen PC überprüft und die verdächtige Datei emcor.dll gefunden, die sich in dem Pfad Benutzer/Benutzername/appdata/Temp versteckt hielt, und die von sich aus einen Systemeintrag erstellt hat. Nachdem der Spieler die Datei in Quarantäne gestellt und entfernt hat, konnte er sich wie üblich in WoW einloggen – der Authenticator selbst war weder geblockt noch vom Account entfernt. Allerdings waren die Taschen von Zarakiteques Charakteren leergeräumt. Dazu versichert der Spieler, dass sein Authenticator niemals in die Hände anderer gelangt wäre und er habe sich nur daheim an seinem eigenen PC in WoW eingeloggt.

Die Datei emcor.dll wurde im Zeitraum zwischen dem 24.02.2010 und dem 25.02.2010 zum ersten Mal gefunden. Der Technische Support von Blizzard nimmt den Bericht und die Datei unter die Lupe. Woher Zarakiteque die .dll-Datei hat und was genau sie macht, ist noch unklar. Allerdings haben sich inzwischen auch andere Spieler gemeldet, die die gleichen Erfahrungen wie Zarakiteque machen mussten.

Sollte der Bericht den Tatsachen entsprechen, würde das Folgendes bedeuten: Die Malware würde nicht den Authenticator deaktivieren, sondern Euch vorgaukeln, dass Ihr falsche Daten an die WoW-Server gesendet hättet. Da die Codes des Authenticators mindestens 30 Sekunden lang aktiv sind (gemäß dem Fall, sie werden nicht genutzt), hätte der Keylogger ausreichend Zeit, sich in Euren Account einzuloggen und die Taschen der Charaktere zu räumen.