Trojanerwarnung 12.04.

Technischer Support
Hallo zusammen!

In letzter Zeit registrierten wir eine steigende Zahl von Accounts, welche trotz registriertem Authenticator (Token oder Mobile) kompromittiert wurden. Es wurden starke Hinweise darauf gefunden, dass hierfür ein Trojaner verantwortlich ist, welcher mit einem Tool zur Verwaltung der Addons für World of Warcraft auf das System geschmuggelt wird und die Logindaten auf dem Weg zwischen Spielclient und Server abfängt: http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

Wir empfehlen generell, dass jeder Spieler stets ein Auge auf die Sicherheit seines Systems haben sollte. Falls ihr jedoch einen solchen Addon-Manager benutzt, raten wir euch dringend dazu, die folgenden Schritte umzusetzen, um eine mögliche Kompromittierung eurer Accounts zu vermeiden:

Ladet zuerst das Überprüfungsprogramm HijackThis herunter und führt es aus wenn Ihr World of Warcraft gestartet habt. Den Download dafür findet ihr auf der verlinkten Seite oben rechts.

Klickt dann in HijackThis auf die Option für den Systemscan mit Erstellung einer Log-Datei. Den Text der so erstellten Datei müsst ihr so wie er ist in das Textfeld der oben verlinkten Seite einfügen und dann auf Auswerten klicken.

Solltet ihr in der Auswertung eine Datei mit der Bezeichnung himym.dll finden, wurde euer PC infiziert und euer Account ist stark gefährdet.

Deinstalliert den Addon-Client von eurem System und leert auch den Papierkorb. Stellt sicher, dass euer Rechner über ein Netzwerkkabel an den Router angeschlossen ist.

Startet das System dann im abgesicherten Modus mit Netzwerktreibern. Falls ihr nicht wisst, wie das gemacht wird, findet ihr hier eine Anleitung dafür.

Ladet in diesem Modus die kostenlose Version des Programms Malwarebytes herunter, installiert es und bringt es auf den aktuellen Stand.

Lasst daraufhin (noch immer im abgesicherten Modus) einen vollen Systemscan durchführen und gegebenenfalls gefundene Schadsoftware entfernen. Startet den Rechner danach neu und lasst ihn normal hochfahren.

Erstellt nochmals ein Log mit HijackThis und prüft, ob die erwähnte himym.dll noch immer dort auftaucht.

Hinweis: Bitte postet eure Logdateien nicht in das Forum, da diese persönliche Informationen enthalten können.

Falls euer Account bereits kompromittiert war oder ihr weitere Informationen über dieses Thema erhalten wollt, werft bitte einen Blick auf unseren ausführlichen Sticky.
Ohhjaaa...
Können wir da bitte mal ein wenig konkreter werden?
In welchem Addon versteckt sich der Trojaner und mit welchem Tool bekommt man den?
bekommt man den "trojaner!" wieder weg?
Können wir da bitte mal ein wenig konkreter werden?
In welchem Addon versteckt sich der Trojaner und mit welchem Tool bekommt man den?


In welchem Addon? Vermutlich in allen die Infiziert sind, keiner kann sagen in genau welchem!

Mit welchem Tool? Alle Clienten die deine Addons per Knopfdruck aktualisieren.
14.04.2012 18:13Beitrag von Lolyoo
bekommt man den "trojaner!" wieder weg?
Ja man bekommt ihn wieder weg, steht aber im 3ten Post über dir wie es geht! (Das Blau geschriebene).
Kleines Edit: Sollte hier nicht ein Schloss sein? :)
Naja, alle Tools betrifft das sicher nicht da die ja auf unterschiedliche Datenbanken zugreifen.
Genauso werden nicht alle Addons verseucht sein.
Naja, alle Tools betrifft das sicher nicht da die ja auf unterschiedliche Datenbanken zugreifen.
Genauso werden nicht alle Addons verseucht sein.


Der am meisten verbreitete Client ist der Curseclient, der wurde vor kurzem gehackt, bzw die Datenbanken von Curse, und dort kommen auch die Addons her, Buffed wurde auch gehackt, bzw. die Datenbanken! Ergo Buffed ladet von Curse und rechne selber.

Aber Wartezeit, ich verstehe deinen Post nicht, du fragst nach welchen, ich gebe Antwort und einen Post drauf antwortest du dir selber!?!

Blizzard hätte, wenn sie es wüssten mit Sicherheit eine Liste mit befallenen Addons hochgeladen, doch leider weiss niemand wie weit alles infiziert ist.
Aber Wartezeit, ich verstehe deinen Post nicht, du fragst nach welchen, ich gebe Antwort und einen Post drauf antwortest du dir selber!?!


Verwirrt?
Ich frage welche, Du schreibst alle, ich antworte, sicher nicht alle.

Und der Hinweis auf den Curse-Hack wäre gleich die richtige Antwort gewesen. :-)
Es gibt aber nicht nur den Curse-Client.
14.04.2012 20:05Beitrag von Wartezeit
Es gibt aber nicht nur den Curse-Client.


Natürlich nicht, es gibt unzählige andere, aber nur 1-2 Websiten die sich auf die erstellung von Addons spezialisiert haben, und eben diese wurden gehackt.

Also macht es keinen Unterschied welchen Clienten man benutzt, von welcher Firma, den die Firmen laden ja nur die Addons hoch die sie auf diesen 1-2 Websiten gedownloadet haben.

Im Prinzip kommt jedes Addon von eben diesen beiden Seiten^^

Ausnahmen bestätigen die Regel

Grüsse
himym.dll... hmm.. HowIMetYourMother.dll ? :D
15.04.2012 03:28Beitrag von Nesaniica
himym.dll... hmm.. HowIMetYourMother.dll ? :D

Auch wenns Offtopic ist: "I lol'd so hard".
14.04.2012 19:17Beitrag von Drinkingbull
Kleines Edit: Sollte hier nicht ein Schloss sein? :)
Nee, in diesem Thread nicht. Den haben wir extra offen gelassen, falls noch irgendwelche Fragen bestehen sollten, die dann entweder von uns oder von anderen Spielern beantwortet werden. :)

Was eine Liste befallener Addon-Clients angeht: Dies würde wohl nur dazu führen, dass Spieler, die einen nicht auf einer solchen Liste befindlichen Client als "sicher" einstufen, selbst wenn er nur noch nicht als gefährlich erkannt wurde. Lieber auf Nummer sicher gehen und mit der im Eingangspost erklärten Methode selbst prüfen!

15.04.2012 03:28Beitrag von Nesaniica
himym.dll... hmm.. HowIMetYourMother.dll ?
D'oh! :D
Wurde mit Stealer infiziert, echt keine schöne Sache! Ein Glück hat Blizzard mich schon nach einem Tag wieder entsperrt!

Edit: Omg ich glaube es ist schon wieder passiert... Jemand hat sich einen Charr erstellt :(
Hallo zusammen.

Mir ist das auch passiert und will mal kurz berichten.

Ich nutze den mobilen Authenticator. Dieser verweigerte am Freitag seinen Dienst. Name und PW eingegeben, Authenticator-Code eingegeben. Meldung: Die eingegebenen Daten sind nicht korrekt. Wieder und wieder versucht, nichts. Auf die HP kam ich ohne Probleme. Habe dann kurzzeitig den Auth entfernt, das einloggen versucht, ging.

Ausgeloggt, Auth wieder aktiviert, versucht, einzuloggen, nichts. Habe dann nach erneutem Deaktivieren einen GM angeschrieben, der mir nicht so recht helfen konnte (Neuinstallation vom Auth, PW-Rücksetzung hat alles nichts gebracht). Habe den Auth dann deaktiv gelassen.

Sonntag abend erst komme ich gar nicht rein, Email im Postfach, gehackt.

Im Nachhinein muss ich sagen, dass WoW selbst auch sehr lange zum Laden brauchte. Launcher angeklickt und dann dauerte es 1-2 Mins, ehe der Launcher dann startete.

Will euch eigentlich nur aufzeigen, wann ihr vorsichtig werden solltet, ich denke nämlich, auch das ist ein Indikator. Virus ist nun beseitigt und WoW startet ganz normal schnell und Code lässt sich ohne Probleme eingeben.

Ach: Weder Antivir noch Malwarebytes haben das Ding als Trojaner ausgemacht. Habe es im abgesichertem Modus löschen können und gleich Papierkorb geleert, ich hoffe, das reicht aus. Werde nun jedenfalls täglich in meinen Temp-Ordner schauen...

Was ich eben noch entdeckt habe ist, dass der Hacker selber Tickets geschrieben hat. Einmal, weil er nicht einloggen konnte, in relativ normalem Deutsch, was ich verstehen kann anstelle des Hackers und das zweite sagt: Mein Account wurde gehackt. In sehr gebrochenem Deutsch erklärt er, dass der Account gehackt wurde...sehr rätselhaft.

LG und auf dass ihr nicht so ein Pech habt :(

Côrleone
Betrifft nicht nur WoW Spieler!

Ich hab heute meinem Kumpel über MSN über diesen Trojaner berichtet, obwohl er nicht WoW spielt und nie WoW auf seinem Rechner hatte (Er hasst WoW), hatte er diesen Eintrag in seinem Hijackthis Logfile. Er spielt allerdings RIFT, man kann also davon ausgehen das der Trojaner nicht nur WoW Spieler befallen kann und, höchstwahrscheinlich, auch auf andere Spiele abzielt. Mein Kumpel konnte den Trojaner jedenfalls mit der oben genannten Lösung entfernen.

Sagt also allen Freunden die MMOs spielen einmal das sie nachschauen sollen ob sie diesen Trojaner haben.

Einen Addon-Manager nutzte er nicht, er war jedoch vor einigen Wochen auf Curse und hat ein Rift Addon geladen.
Also ich hatte auch das "Problem"

Hatte vorher den CurseClient installiert.
Der Mobile Authenticator ging wie oben beschrieben nicht nach der Installation.
Dann heute mal Nod32 auf PC gemacht da Avira Antivir immer nur Maleware Warnungen rauswarf.
Nod32 bekams dann irgend wie so hin das nach jedem Neustart der um einiges länger dauerte wie sonst irgend wie die himym.dll gesperrt oder sonstwas gelöscht hat so das die nicht mehr ausgeführt werden konnte (wurde mir bei jedem Neustart angezeigt).
Darauf hin dann mal Google benutzt. Gibt noch andere Seiten wo Leute auch Probleme damit haben und bin dann Gott sei dank hier drauf Gestoßen.
Also im Abgesichterten Modus Malewarebytes durchrennen lassenund TADA... das ding ist komplett weg :)
Gibt es irgendeine verifizierbare Quelle für den angeblichen Hack bei curse? Das taucht jede Woche einmal hier im Forum auf und war bisher immer heiße Luft.

Dafür hat es die Computec Media AG wirklich erwischt. Wer vor kurzem auf PCGames, PCGamesHardware, Buffed etc unterwegs war sollte seinen Rechner überprüfen.

http://www.pcgames.de/Computec-Media-AG-DE-Firma-15341/News/Hacker-Angriff-auf-unsere-Seiten-Malware-verteilt-Zugriff-auf-Daten-878294/
Eine Frage (vor allem auch an die offiziellen): Ist bekannt ob dieser Trojaner bereits auf einem Mac gefunden wurde?

Danke,

Keykatsu
Schon irgendwer ein Statement gelesen von Curse ob die Datenbank sicher ist oder nicht? Ich finde nichts.
Noch eine weitere Frage bzgl. der ge-hackten Clients: Ist/sind der/die Client(s) an sich gehackt, sprich fügen diese die Trojaner hinzu oder handelt es sich um Trojaner die in den einzelnen AddOns integriert sind (im Endeffekt, ob die Datenbank selbst infiziert wurde)? Wenn die AddOns bzw. die Datenbank infiziert wurde hat der Client damit ja dann nicht wirklich was zu tun... oder übersehe ich hier etwas?

Nimm an der Unterhaltung teil!

Zurück zum Forum