[Kompromittierte Accounts] Trojanerwarnung 03.01.2014

Technischer Support
Hallo zusammen!

Wir haben kürzlich Meldungen erhalten, dass erneut ein gefährlicher Trojaner in Umlauf ist, welcher vermag, Spieleraccounts selbst dann zu kompromittieren, wenn sie über einen Authenticator geschützt werden. Es handelt sich bei dieser Methode um die bereits bekannte Man-in-the-Middle-Angriffsform, bei welcher der Trojaner in Echtzeit sowohl die Accountinformationen als auch den Authenticatorcode genau in dem Moment abfängt und weiterleitet, in dem sie von euch am Computer eingegeben werden.

Falls euer Account kürzlich kompromittiert wurde, raten wir dringend dazu, nach diesem Trojaner Ausschau zu halten. Er kann durch die Erstellung einer MSInfo-Datei ausfindig gemacht werden, indem ihr in der erstellten Datei unter den Autostart-Programmen nach "Disker" oder "Disker64" sucht. Ein positives Ergebnis sieht für gewöhnlich so aus:

Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup
Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup

Wir suchen gegenwärtig nach weiteren Informationen zu diesem Trojaner. Bislang konnten wir keine Antiviren-Software finden, welche in der Lage ist, diesen Schädling zu entfernen, ohne dabei das gesamte System zu formatieren. Falls euer Account kürzlich kompromittiert wurde und ihr diesen Trojaner über die oben genannte Methode auf eurem System entdecken konntet, antwortet in diesem Thread bitte unter Angabe folgender Informationen:

  • Eure MSInfo-Systemdatei
  • Eine Liste jeglicher kürzlich installierter Addons inklusive der Webseite, auf der ihr sie heruntergeladen habt
  • Eine Liste jeglicher kürzlich installierter Programme inklusive des Ursprungsortes
  • Jegliche Sicherheitssoftware, die ihr benutzt habt, und was genau das Resultat daraus war

Aus bereits analysierten Meldungen der anderen Forenteile geht hervor, dass in Europa bislang kein gemeldeter Account durch diesen Trojaner kompromittiert wurde. Wir bitten euch jedoch darum, diese Bedrohung dennoch ernst zu nehmen und die Augen offen zu halten. Vorsicht ist besser als Nachsicht!

*Update*
Dank der Mitarbeit eines unserer MVPs sollten die meisten Antivirus-Programme mittlerweile oder in Kürze in der Lage sein, diesen Trojaner erfolgreich zu identifizieren und zu entfernen. Solltet ihr euch bezüglich eines Virenscans unsicher sein, so findet ihr hier einen Supportartikel, der den Vorgang erläutert.
Das Addon OQueue oder der Addon-Updater "WoWMatrix" könnten hierfür verantwortlich sein.

OQueue kann schon länger nicht mehr über Curse bezogen werden und muss von der Seite des Herstellers runtergeladen werden.

WoWMatrix ist auch nicht gerade die sicherste Methode um seine Addons auf den neusten Stand zu bringen.

-Grüße Grodos-
Schade das ich diese Warnung erst auf einer Fansite lesen musst, statt auf der offiziellen WoW Seite oder gar im Battle.net Client. Ich habe direkt meine msinfo durchsucht und nichts gefunden. Danke an vanion.eu

@Grodos: soweit mir bekannt ist, gibts oqueue nicht mehr bei curse weil das Addon im Spiel einen Spenden Button hat. Da auch curse wohl eine Fansite ist dürfen sie das Addon nicht mehr "anpreisen".
Ein blauer kann das ja gerne dementieren/bestätigen.
Ich denke auch, das wegen dem Donate-Button oqueue nicht mehr bei curse "erhätlich" ist.

Ich bin wie Graurock der Meinung, das sowas im Client bzw beim Einloggen angezeigt werden sollte/muss.
Hallo!

Ich habe ein Problem mit WoW, wenn ich es starte bekomme ich nach Sekunden/Minuten plötzlich eine sehr hohe Latenz (zwischen 2-4k). Ich dachte das es vllt am Router liegen kann aber über Wlan für mein Smartphone habe ich keine Probleme (mein bruder auch nicht) deshalb dachte ich das ich alles einfach mal aktualisier bzw. schaue ob etwas zu aktualosieren ist Treiber etc. aber alles schon auf dem neuesten Stand.
Ich habe Windows 8.1 und die haben ja einen eigenen virenschutz, Windows defender. Da hab ich dann mal einen kompletten Scan gemacht und nichts gefunden, bin aber dann zur Quarantäne gegangen und ein Trojaner war dort!? Der war schon seitdem 17.12.13 dort und mit Windows defender kann man den entfernen also hab ich das gemacht und trotzdem bekomme ich eine sehr hohe Latenz...
Dann hab ich einen Speedtest bei kabel deutschland gemacht und die internetverbindung ist seh langsam...

Meine Frage: Gibt es dafür eine Lösung oder bleibt mir wirklich nurnoch Windows zu entfernen und wieder zu installieren?
Probiere es mal mit Immunet3 das kann kostenlos 14 Tage lang benutzt werden und bietet einen Rootkitscan zusätzlich zum normalen Virenscan.

Ganz wichtig im Breich der Ausnamen (dateien die nicht gescant werden sollen) alles löschen - man muss davon ausgehen das die schöpfer der Viren & Trajaner von den Standard Ausnamen wissen und diese Nutzen.

Gruß Eatit

Nimm an der Unterhaltung teil!

Zurück zum Forum