• buffed.de
  • WoW-Datenbank
  • Hearthstone-DB
Games World
Login Registrieren
    Login Registrieren
    • buffed.de
    • WoW-Datenbank
    • Hearthstone-DB
    Login Registrieren
    • buffed.de
    • WoW-Datenbank
    • Hearthstone-DB
  • WoW: Account gekeyloggt trotz Authenticator +++UPDATE: Quellen für den Trojaner gefunden

    Mehrere WoW-Accounts mit Authenticator-Abfrage wurden angegriffen, Blizzards Technischer Support ermittelt, mehrere Fake-Webseiten verbreiten die Malware

    UPDATE vom 02.03.2010, 10:54 Uhr:

    Als eine der Quellen für die Datei emcor.dll wurde inzwischen eine Fälschung der Webseite WoWMatrix.com identifiziert, die zeitweise über Google als Sponsored Link angegeben wurde, wenn Ihr WoWMatrix in die Suche eingegeben habt. Achtung: WoWMatrix.com ist nicht von dem Keylogger betroffen beziehungsweise wird der Keylogger nicht über die Webseite bezogen.

    WoW: Account gekeyloggt trotz Authenticator +++UPDATE: Quellen für den Trojaner gefunden

    Quelle: worldofraids.com

    Vielmehr ließe sich unter WoWMatrixF.com eine exakte Kopie von WoWMatrix.com finden, über die Ihr eine gefälschte Version des Addon-Managers von WoWMatrix herunterladen könntet. Diese würde die als Schadsoftware auf Eurem System installieren und somit einem Angriff auf Euren WoW-Account Tür und Tor öffnen. Google hat den gesponsorten Link inzwischen entfernt, beachtet aber, dass Ihr keine Webseiten besucht, die merkwürdige Anhängsel an die eigentliche URL haben – nutzt da eher Eure Bookmarks und Favoriten.

    Außerdem wurden noch weitere Fälschungen von beliebten WoW-Addon-Seiten gefunden. Wie WorldofRaids.com berichtet existieren Kopien von Seiten wie Curse.com (Falsch-URL: cursea.com) oder Kopien von Addonautoren-Webauftritten wie deadlybossmods.com (Falsch-URL: deadlybossmodss.com). Insgesamt sind unter der IP-Adresse 14 verschiedene Adressen registriert, die den Keylogger in gefälschten Addon-Downloads verstecken. Der Trojaner, der beim Ausführen installiert wird, heißt Malware.NSPack.

    Achtung: Angesichts der aktuellen Diskussionen um Keylogger und MITM-Attacken möchten wir darauf hinweisen, dass die WoW-Addons, die auf buffed.de angeboten werden, vor jedem Upload auf mögliche Schadsoftware geprüft werden. Außerdem ist BLASC3 selbst sicher und installiert keine Schadsoftware - Ihr könnt BLASC3 auch nur bei uns auf buffed.de herunterladen. Ladet BLASC niemals von anderen Webseiten, sollte Euch unsere Software dort angeboten werden.

    WoW: Account gekeyloggt trotz Authenticator +++UPDATE: Quellen für den Trojaner gefunden

    --

    UPDATE vom 28.02.2010, 11:31 Uhr:

    Der Technische Support von Blizzard hat den Bericht von Zarakiteque als Man-in-the-Middle-Angriff bestätigt.

    Zitat von Wikipedia.de

    "Ein Man-in-the-middle-Angriff (MITM-Angriff), auch Janusangriff (nach dem doppelgesichtigen Ianus der römischen Mythologie) genannt, ist eine Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer steht dabei entweder physikalisch oder – heute meist – logisch zwischen den beiden Kommunikationspartnern und hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren. Die Janusköpfigkeit des Angreifers besteht darin, dass er den Kommunikationspartnern das jeweilige Gegenüber vortäuschen kann, ohne dass sie es merken."

    --

    Originalmeldung vom 28.02.2010, 10:54 Uhr:

    In den englischen WoW-Foren hat der Thread von Spieler Zarakiteque die Aufmerksamkeit der Entwickler von Blizzard gewonnen – laut Zarakiteques Bericht sei es Keyloggern nun auch möglich, sich Zugang zu WoW-Accounts zu verschaffen, die mit einem Authenticator verbunden sind. Die Entwickler untersuchen das Geschehene. Eine offizielle Bestätigung, dass eine Datei namens encor.dll maßgeblich mit dem Angriff auf den Account zu tun hat, gibt es nicht.

    Folgendes hat sich ereignet: Das WoW-Programm von Zarakiteque ist mit einem Memory Access Violation Critical Error abgestürzt. Daraufhin wollte sich Zarakiteque wieder einloggen, was ihm aber unmöglich war. Angeblich handelte es sich bei Passwort und Authenticator-Code um falsche Angaben – er versuchte mehrere Male, im Spiel auf seinen Account zuzugreifen, allerdings ohne Erfolg. Daraufhin suchte Zarakiteque die Account-Management-Seite auf, um sich dort einzuloggen. Der Versuch schlug mit der Begründung fehl, dass mehrfach ein falscher Authenticator-Code eingegeben wurde und der Authenticator deswegen vorerst gesperrt wäre. Zarakiteque hat daraufhin seinen PC überprüft und die verdächtige Datei emcor.dll gefunden, die sich in dem Pfad Benutzer/Benutzername/appdata/Temp versteckt hielt, und die von sich aus einen Systemeintrag erstellt hat. Nachdem der Spieler die Datei in Quarantäne gestellt und entfernt hat, konnte er sich wie üblich in WoW einloggen – der Authenticator selbst war weder geblockt noch vom Account entfernt. Allerdings waren die Taschen von Zarakiteques Charakteren leergeräumt. Dazu versichert der Spieler, dass sein Authenticator niemals in die Hände anderer gelangt wäre und er habe sich nur daheim an seinem eigenen PC in WoW eingeloggt.

    Die Datei emcor.dll wurde im Zeitraum zwischen dem 24.02.2010 und dem 25.02.2010 zum ersten Mal gefunden. Der Technische Support von Blizzard nimmt den Bericht und die Datei unter die Lupe. Woher Zarakiteque die .dll-Datei hat und was genau sie macht, ist noch unklar. Allerdings haben sich inzwischen auch andere Spieler gemeldet, die die gleichen Erfahrungen wie Zarakiteque machen mussten.

    Sollte der Bericht den Tatsachen entsprechen, würde das Folgendes bedeuten: Die Malware würde nicht den Authenticator deaktivieren, sondern Euch vorgaukeln, dass Ihr falsche Daten an die WoW-Server gesendet hättet. Da die Codes des Authenticators mindestens 30 Sekunden lang aktiv sind (gemäß dem Fall, sie werden nicht genutzt), hätte der Keylogger ausreichend Zeit, sich in Euren Account einzuloggen und die Taschen der Charaktere zu räumen.

  • World of Warcraft
    World of Warcraft
    Publisher
    Activision Blizzard
    Developer
    Blizzard
    Release
    11.02.2005
    Leserwertung
     
    Bewerte dieses Spiel!
    Es gibt 3 Kommentare zum Artikel
    Von Agarthor
    SONE SCHWEINEREI! mir wurden jetz auch schon 5mails geschrieben mit ganz merkwürdigem inhalt der ungefähr so lautete :…
    Von Sphärenwanderer
    Mal ne gaaaanz dämliche Frage? Warum findet man diesen Post nur über den Diablo3 Seiten Bereich und nicht in der World…
    Von Sadorkan
    lol - ich dachte mit dem Teil sei es "bombensicher" (oder mit nem ähnlichen Kraftausdruck angepriesen)!? 250…

    Aktuelle Online-Spiele Releases

    Cover Packshot von Mirage: Arcane Warfare Release: Mirage: Arcane Warfare
    Cover Packshot von Battlecrew: Space Pirates Release: Battlecrew: Space Pirates Dontnod Entertainment
    Cover Packshot von Skyforge Release: Skyforge
    • Elenenedh Google+
      02.03.2010 11:20 Uhr
      buffed-TEAM
      Jetzt ist Deine Meinung gefragt: Hier kannst Du Deinen Kommentar zum Artikel veröffentlichen und mit anderen Lesern darüber diskutieren.
      Dein Kommentar
      Bitte logge Dich ein, um einen Kommentar zu verfassen.

      Netiquette | Kommentar-Ticker (Live)
      Agarthor
      am 05. April 2010
      Kommentar wurde nicht gebufft
      Melden
      SONE SCHWEINEREI! mir wurden jetz auch schon 5mails geschrieben mit ganz merkwürdigem inhalt der ungefähr so lautete : Your account is closed pls go to our website to reactivate your account

      heres the link:___________________

      das kam mir ziemlich komisch vor da blizzard eigentlich nie sone kurz gebundene mail ohne begrüßung oder ähnliches schreib was mir dann aber doch sorgen bereitet hat die wussten meinen acc namen hab alles gleich geändert achja hab dann auch bemerkt im link stand der normale link nurs statt warcraft warcralt was wirklich kaum auffällt wenn man nich drauf achtet

      achja das selbe ham sie auch bei meim aion acc versucht mim genau gleichen text SCHWEINE!
      Sphärenwanderer
      am 22. März 2010
      Kommentar wurde nicht gebufft
      Melden
      Mal ne gaaaanz dämliche Frage? Warum findet man diesen Post nur über den Diablo3 Seiten Bereich und nicht in der World of Warcraft-Sektion der Seite?
      Sadorkan
      am 08. März 2010
      Kommentar wurde nicht gebufft
      Melden
      lol - ich dachte mit dem Teil sei es "bombensicher" (oder mit nem ähnlichen Kraftausdruck angepriesen)!?

      250 Einträge vor mir...: sry hab nich die Zeit die zu lesen.
      bin aba froh dass ich mir das nich geholt hab! und froh dass es "passiert" is, weil nur so wird den Leuten klar dass NICHTS SICHER IS!
      und bald schon solls n Perso geben mit dem man sich dann "eindeutig" im Internet (wie z.B. Behörden, banken etc.) ausweisen bzw. identifizieren kann...
      Was wäre wenn der schon millionenfach verteilt würde, und erst dann von mehr oder weniger "kriminellen Elementen" z.B. ausgelesen & kopiert, gehackt, verändert, falsche IDs erstellt, reale- oder Fantasie-IDs für Verbrechen / jmd. etwas "anhängen" & erpressen, Konten ausplündern, oder zumindest auf Kosten anderer shopping zu betreiben usw. usf.... - da liesse sich noch vieles mehr mit "anstellen"......
      woolfrace
      am 04. März 2010
      Kommentar wurde nicht gebufft
      Melden
      >>> Google hat den gesponsorten Link inzwischen entfernt<<<
      Ne hat es nicht! Man findet nach wie vor den Link im Suchfenster an erster Stelle!
      http://www.google.de/#hl=de&source=hp&q=wow+matrix&btnG=Google-Suche&meta=&aq=f&oq=wow+matrix&fp=8a55a06f315d52e1
      Ångela
      am 04. März 2010
      Kommentar wurde nicht gebufft
      Melden
      Ach und noch was, kleiner Träumer, allein die Tatsache, das du hier bei buffed mitschreibst, macht dich angreifbar, denn ich könnte auch hier "arbeiten" und so deine IP einsehen und dich direkt attackieren, bzw. deinen Rechner, aber soweit reicht dein Geist eben nicht, nicht mal ansatzweise.
      Ångela
      am 04. März 2010
      Kommentar wurde nicht gebufft
      Melden
      @ AAhra: du bist ein Troll und merkst nicht mal, das du mit jedem deiner Beiträge zusätzlich BESTÄTIGST, das du einer bist; jemand der NULL Plan hat.

      Ich arbeite seit über 20 Jahren an Computern und seit mehr als 15 Jahren im "Internet" und irgendwann hat es JEDEN erwischt, ganz egal warum, aber Spinner wie du glauben eben immer, sie wären "besser", ROFL.
      Hakkes
      am 03. März 2010
      Kommentar wurde 1x gebufft
      Melden
      pff ich freu mich schon über die Nachricht das 100000 WoW Accs geknackt und platt gemacht wurden .
      Ich sag nur "kreditkarten in USA" dort haben auch welche die Codes geknackt , obwohl man die für "sehr sicher " gehalten hat...
      Wird nicht lang dauern bis sich so Spaßvögel mal rannmachen und die Codes knacken....
      Hotgoblin
      am 03. März 2010
      Kommentar wurde nicht gebufft
      Melden
      Kann garnicht gekeyloggt sein wenn es mit dem Authenticator verbunden ist da Keylogger nur die Passwörter auslesen und denke das reicht dann bei Accounts mit Authenticator nicht :/

      War aber irgendwie klar das sowas auch noch kommt.
      Jingko
      am 03. März 2010
      Kommentar wurde 2x gebufft
      Melden
      @ Silanas: "Mein Rechner ist nun wieder sauber"....ich wünsch es Dir. Nur gibt es wirklich übles Zeug, das man nur sehr schwer wieder los wird, wenn überhaupt.

      Und was die sooo vernünftigen Leute hier angeht: Es gibt schon sehr viele Möglichkeiten, wie man sich etwas "einfangen" kann. Das hat oft nicht mit Unvorsichtigkeit, Blödheit oder Naivität zu tun. Die Überheblichkeit zu meinen, dass einem sowas garantiert NIE passieren kann, ist schon oft genug von der Wirklichkeit eingeholt worden, nur ich hege meine Zweifel, dass dann einer von den dann Betroffenen noch den Mumm hat, hier zu posten....
      Killer2009
      am 03. März 2010
      Kommentar wurde nicht gebufft
      Melden
      @242 man alter sei ruhig und freu dich wenn du noch ne gehackt worden bist
  • Print / Abo
    Apps
    buffed 12/2016 PC Games MMore 06/2017 PC Games 06/2017 PC Games Hardware 06/2017 play³ 06/2017 Games Aktuell 06/2017 XBG Games 04/2017
    PC Games 06/2017 PCGH Magazin 06/2017 PC Games MMORE Computec Kiosk On the Run! Birdies Run
article
779899
World of Warcraft
WoW: Account gekeyloggt trotz Authenticator +++UPDATE: Quellen für den Trojaner gefunden
Mehrere WoW-Accounts mit Authenticator-Abfrage wurden angegriffen, Blizzards Technischer Support ermittelt, mehrere Fake-Webseiten verbreiten die Malware
http://www.buffed.de/World-of-Warcraft-Spiel-42971/News/WoW-Account-gekeyloggt-trotz-Authenticator-UPDATE-Quellen-fuer-den-Trojaner-gefunden-779899/
02.03.2010
http://www.buffed.de/screenshots/medium/2010/03/WoWMatrixFake.jpg
news