Thema: World of Warcraft ...

[SiLæncer]

Ein Trojaner verbreitet sich, der es auf die Passwörter zu den Online-Zugängen des beliebten Multiplayer-Spiels World of Warcraft abgesehen hat. Hierzu klinkt sich der Trojaner bei Ausführung in Fenster ein, die mit World of Warcraft in Verbindung stehen. Er versucht, die Tastendrücke mitzuprotokollieren, um sie anschließend per E-Mail an den Autor der Schadsoftware zu senden. Selbstverständlich trägt sich das Programm auch in die Autorun-Registry-Keys ein. Eine weitere Schadroutine des Trojaners versucht, verschiedene Virenscanner zu deaktivieren.

Als Schutz vor diesem Trojaner gilt es wie üblich, bei unerwartet eintrudelnden E-Mails auf keinen Fall die Attachments auszuführen beziehungsweise zweifelhaften Links darin zu folgen -- in der Vergangenheit wurde versucht, Sicherheitslecks in Webbrowsern auszunutzen, um Schadsoftware auf dem System zu installieren.

Dieser Trojaner ist einmal mehr Beweis dafür, dass den immateriellen Dingen aus virtuellen Computer-Welten zunehmend realer Wert zugemessen wird. Für die hartgesottenen Fans solcher Spiele handelt es sich nicht mehr nur um reine rechnererzeugte Fiktion. So sind sie bereit, (viel) reales Geld für virtuelle Gegenstände auszugeben. Ein tragischer Fall ereignete sich in China, hier wurde ein Online-Spieler sogar für den Verkauf einer virtuellen Waffe ermordet.

Quelle und Links : http://www.heise.de/newsticker/meldung/62376

[SiLæncer]

Nach einem Blog-Posting von Greg Hoglund herrscht Aufruhr in den Blogs und Foren rund um das Online-Spiel World of Warcraft. Stein des Anstoßes ist eine Überwachungssoftware des Herstellers Blizzard Entertainment, die das Spiel vor Manipulationen schützen soll.

Wie Hoglund durch Reverse-Engineering herausgefunden hat, läuft dieser Wächter alle 15 Sekunden. Er liest zunächst die Fenstertitel aller laufenden Anwendungen aus, schickt sie durch eine Hash-Funktion und vergleicht das Ergebnis mit einer Liste von Hashes unerwünschter Programme. Sodann schaut das Programm in den Adressraum jedes im System laufenden Prozesses und bildet aus bestimmten Adressbereichen ebenfalls Hash-Werte, die es mit schwarzen Listen vergleicht. Entdeckt es Verdächtiges, so wird der Account des Spielers gesperrt.

In der im Internet geführten Diskussion sagen die einen, es handelt sich dabei eindeutig um Spyware, denn es gehört sich für eine Software einfach nicht, in andere Prozesse hineinzusehen, nicht in die Fenstertitel und schon gar nicht in den Adressraum. Die anderen argumentieren, dass die Software ja nichts ausspioniert. Sie läuft nur Client-seitig und sendet keine der untersuchten Daten im Klartext an den Server. Es ist nicht einmal erwiesen, dass Hash-Werte übermittelt werden.

Hersteller Blizzard Software hatte schon im August zur aufkeimenden Sicherheitsdiskussion Stellung genommen und auf die Nutzungsbedingungen verwiesen. Dort heißt es im Abschnitt 13:

A. WHEN RUNNING, THE WORLD OF WARCRAFT CLIENT MAY MONITOR YOUR COMPUTER'S RANDOM ACCESS MEMORY (RAM) AND/OR CPU PROCESSES FOR UNAUTHORIZED THIRD PARTY PROGRAMS RUNNING CONCURRENTLY WITH WORLD OF WARCRAFT. [...]

Wer World of Warcraft spielen will, muss sich also damit einverstanden erklären, dass das Spiel den Speicher seines Computers und andere Prozesse überwacht.

Quelle und Links : http://www.heise.de/security/news/meldung/64962

[SiLæncer]

Verbreitung per Filesharing und IE-Sicherheitslücke

Der Hersteller von Antivirus-Software MicroWorld warnt vor einen neuen Schädling, der gezielt das beliebte Online-Rollenspiel World of WarCraft angreift. Das Programm soll Passwörter ausspionieren, mit deren Hilfe die Angreifer virtuelle Gegenstände aus dem Spiel offenbar in echtes Geld verwandeln wollen.

MicroWorld hat das trojanische Pferd "Trojan-PSW.Win32.WOW.x" genannt, eine neue Variante des Programms soll sich derzeit schnell verbreiten. Das geschehe über nicht genauer benannte Filesharing-Netze, aber auch über Webseiten. Laut den Virenforschern existieren bereits mehrere "dubiose" Spiele-Webseiten, die mit manipulierten Popup-Anzeigen über eine Sicherheitslücke im Internet Explorer den Code des Trojaners einschleusen.

Das Programm soll dann mehrere Antiviren-Pakete und auch Firewalls deaktivieren, bevor es das Passwort von World of Warcraft an seine Erzeuger schickt. Das macht den Rechner auch anfällig für andere Schädlinge. Zudem sollen die "umstrittenen Rootkit-Komponenten mancher Musik-CDs" von dem Trojaner auch verwendet werden, so MicroWorld. Gemeint sind damit wohl die von Sony vertriebenen CDs mit dem DRM-System XCP.

MicroWorlds CEO Govind Rammurthy sieht hinter dem neuen Trojaner klar die Absicht, Gegenstände aus WoW verkaufen zu wollen: "Die neuen Varianten von Win32.WOW zeigen klar, dass die Autoren von Schadsoftware alles angreifen, das verwundbar ist und wo es um Geld geht. Dabei ist vielleicht weniger zu verdienen als bei einem Trojaner, der Bankzugangsdaten oder Kreditkartennummern stiehlt. Cyberkriminellen macht das aber nichts aus, solange das Ziel leicht angreifbar ist und in hoher Zahl existiert."

Quelle : www.golem.de

[SiLæncer]

Fans des Online-Spiels World Of Warcraft sind Zielscheiben aktueller Phishing-Angriffe. Die Empfänger der Mails müssen lesen, ihr Spielerkonto sei unter Beobachtung, weil sie sich an illegalen Aktivitäten beteiligt hätten.

Freunde von Online-Spielen sind bereits seit geraumer Zeit im Visier von Online-Kriminellen, die ihnen virtuelle Güter abknöpfen wollen. Sie treiben mit den ergaunerten Schätzen und Fähigkeiten der Spielcharaktere einen regen Handel. Derzeit sind laut einer Warnung des Antivirusherstellers Avira Spieler von World Of Warcraft (WOW) Zielscheiben von Phishing-Angriffen per Mail. Sie werden auf eine gefälschte Anmeldeseite gelockt, wo sie ihre Zugangsdaten eingeben sollen.

Die Mails der Game-Phisher tragen eine gefälschte Absenderangabe, die den Eindruck erwecken soll, die Mails kämen vom WOW-Hersteller Blizzard. Der Betreff lautet zum Beispiel "Blizzard Account Administration EU -- Account Suspension". Die Nachricht beginnt, wie von Blizzard gewohnt, mit der Grußformel "Greetings". Im Text heißt es, das Spielerkonto stehe unter Beobachtung und der Spieler werde verdächtigt an illegalen Aktivitäten beteiligt zu sein. Er habe die Nutzungsbedingungen von WOW missachtet und werde für drei Stunden gesperrt.

In der Mail werden die Empfänger weiter aufgefordert zu verifizieren, dass sie die legitimen Besitzer ihres Kontos sind. Dazu sollen sie einen Link in der Mail anklicken und in ein Formular auf der aufgerufenen ihre Zugangsdaten eintragen. Diese fallen so in die Hände der Täter, die damit ihre Raubzüge in der virtuellen Welt fortsetzen.Wie Vlad Dinulescu im Avira TechBlog anmerkt, ist es eher ungewöhnlich für Phishing-Attacken, dass die Mails sorgfältig formuliert und nahezu frei von Rechtschreib- oder Grammatikfehlern sind. Offenbar ist den Tätern mittlerweile aufgegangen, dass mit Fehlern gespickte Mails weniger überzeugend sind.

Quelle : www.pcwelt.de

[SiLæncer]

Im Netz kursiert derzeit ein Trojaner, der dem Sammeln von Passwörtern für das MMORPG World of Warcraft (WoW) dient. Getarnt ist er als Spam-Mail mit schlüpfriger Betreffzeile.

Die Mails haben Betreffzeilen wie "Do you like to find a girlfriend like me?". Im Anhang findet sich ein rar-Archiv, das Fotos asiatischer Schönheiten und eine Datei, bei der es sich angeblich um ein thematisch ähnliches Video handelt, enthält. Der angebliche Film allerdings enthält neben dem Video auch noch einen Trojaner namens Agent-LVF, der auf das Stehlen von Login-Daten für World of Warcraft spezialisiert ist.

Wie die IT-Sicherheitsfirma Sophos vermutet, werden die WoW-Accounts oder die darauf befindlichen Items auf dem Untergrund-Markt verkauft. Dort werden derartige Accounts schon seit einer Weile angeboten und bringen den Verkäufern durchaus anständige Summen ein. "Eine überraschende Menge von Malware ist darauf programmiert, Registrierungs-Keys, Passwörter und Daten von Computerspielen zu entwenden. Dabei geht es nicht nur darum, in einem Spiel besser dazustehen. Kriminelle stehlen virtuelle Gegenstände wie Rüstungen, Geld und Waffen, um sie gegen harte Währung in der realen Welt zu verkaufen."

Sogenannte Item-Shops, in denen Ingame-Gegenstände gegen reales Geld verkauft werden, existieren schon seit Jahren, ob die angebotenen Items nun von unterbezahlten Asiaten "gefarmt", wie in Diablo 2 größtenteils ercheatet oder wie in diesem Fall per Trojaner anderen Spielern entwendet werden. Die Spielbetreiber sind oft nicht begeistert, können aber meist wenig gegen den schwunghaften Handel tun. Im Fall von Trojanern wie Agent-LVF sind die Dummen aber nicht nur die ehrlichen Spieler, sondern auch die Opfer, deren erspielte Items oder sogar ganze, teuer bezahlte Accounts auf einmal verloren sind. Ein Grund mehr, warum auch Zocker aufpassen sollten, ihren Rechner nicht mit Malware zu infizieren.

Quelle: www.gulli.com

[SiLæncer]

Accounts für Online-Spiele, allen voran das beliebte MMORPG World of Warcraft (WoW) sind ein zunehmend beliebtes Ziel cyberkrimineller Aktivitäten. In den letzten Wochen wird wieder verstärkt Jagd auf diese begehrten Benutzerkonten gemacht.

In den vergangenen Wochen verzeichneten die Experten der G Data Security Labs eine deutliche Zunahme unterschiedlicher Phishing-Attacken auf die Spieler von World of Warcraft. Das Ziel: einen der beliebten Accounts für Blizzards Fantasy-MMORPG zu stehlen. Bis zu 30 Euro kann ein solcher Account auf dem Schwarzmarkt wert sein. Die Angriffe folgen einem altbekannten Muster: Durch seriös aussehende E-Mails werden die Opfer auf gefälschte Log-In-Seiten gelockt, auf denen sie ihre Benutzerdaten eingeben müssen. Diese können dann von den Kriminellen nach Belieben missbraucht werden.

Eigentlich sollte man meinen, im Jahr 2010 seien die meisten Internet-Nutzer zu erfahren, um auf derartig abgedroschene Tricks noch hereinzufallen. Allerdings scheint dies nicht bei allen der Fall zu sein. Und die aktuelle Kampagne, so G Data, ist raffinierter als vergleichbare Phishing-Versuche. In den E-Mails wird dem Opfer suggeriert, es habe kürzlich eine Passwort-Änderung stattgefunden. Habe der Benutzer diese nicht selbst veranlasst, solle er die entsprechende Website besuchen - die in Wirklichkeit eine Betrugs-Seite ist. Viele Betroffene vermuten hinter dem angeblichen Passwort-Wechsel einen Betrugsversuch und verhalten sich deswegen so, wie es die Cyberkriminellen beabsichtigen. Die Phishing-Website ist mit einer Kopie des echten Battlenet-Logins und der Domain "worldrofwarcraft.net" zudem täuschend echt gestaltet. Auch die Absender-Adresse der Mails ist so gefälscht, dass sie auf den ersten Blick "support(at)blizzard.com" zu lauten scheint.

Wie so oft beim Phishing helfen keine Sicherheitstools, sondern nur vorsichtiges und aufmerksames Verhalten. Benutzer sollten keinen unbekannten Links folgen, sondern für einen BattleNet-Login die entsprechende Adresse selbst eingeben oder ihr Lesezeichen verwenden. Insbesondere bei E-Mails, die zur Eingabe des Passworts auffordern, ist Misstrauen geboten. Blizzard fragt Spieler nicht nach ihren Passwörtern.


Quelle: www.gulli.com

[SiLæncer]

Spieler des MMORPGs World of Warcraft (WoW), die den Blizzard Authenticator verwenden, müssen mit einem neuen Angriff rechnen: offenbar ist bei diesen Accounts der Einsatz eines Keyloggers möglich.

Zuerst bekannt wurde das Problem durch einen Thread im Blizzard Support-Forum. In diesem berichtet der Spieler Zarakitequ, ein Angreifer habe sich Zugriff zu seinem mit dem Blizzard Authenticator geschützten WoW-Account verschafft. Sämtliche Items der auf dem Account vorhandenen Charaktere wurden gestohlen und mutmaßlich in Itemshops verkauft. Blizzard untersucht das Geschehen momentan.

Wie genau der Angriff durchgeführt wurde, ist noch nicht klar. Es wird vermutet, dass eine Datei namens "emcor.dll" dabei eine Rolle spielt; dies konnte jedoch bislang noch nicht bestätigt werden. Mittlerweile gibt es jedoch mehrere Spieler, die das Problem bestätigten. Wie genau sich diese mit dem Keylogger infizierten, muss sich erst noch herausstellen.

Bei dem Angriff scheint es sich um einen sogenannten Man in the Middle-Angriff zu handeln. Der Authenticator wird nicht deaktiviert, sondern umgangen. Die Betroffenen erhalten die Fehlermeldung, sie hätten mehrfach falsche Authenticator-Codes eingegeben. Wird der Autheticator deaktiviert, kann sich der Spieler normal in seinen Account einloggen. Dann ist es jedoch bereits zu spät: das Passwort ist 30 Sekunden lang aktiv. In dieser Zeit loggt sich der kompromittierte Authenticator in den Account des Opfers ein und fängt an, dessen Items zu plündern.

Quelle: www.gulli.com

[SiLæncer]

Fans des MMORPGs World of Warcraft (WoW) müssen sich erneut vor Phishing-Attacken hüten. Eine neue Mail-Kampagne versucht, durch das Versprechen von Ingame-Vorteilen an die Benutzerdaten der Opfer zu gelangen.

Die Mails tragen den Betreff "Mounts Application Trial" und fordern den Benutzer auf, eine verlinkte Website zu besuchen. Dort müssen sie ein Antragsformular ausfüllen und eine Reihe von Fragen beantworten. Als Belohnung wird ihnen kostenlos ein besonderes Reittier ("Mount") versprochen. Folgt ein Spieler den Anweisungen, gelangt er auf eine täuschend echt wirkende Internetseite mit gefälschtem Log-In-Formular. Nettes Detail: die Opfer erhalten sogar eine seriös wirkende Bestätigungsmail für ihren angeblichen Antrag auf ein Reittier.

Natürlich passiert das, was in solchen Fällen schon zu erwarten ist: Die Log-In-Daten werden von den verantwortlichen Cyberkriminellen gespeichert und missbraucht. Zusätzlich wird auf den betroffenen Rechnern (sofern es sich um Windows-PCs handelt) ein Trojaner installiert. Sein Ziel ist der Diebstahl von Passwörtern zu sämtlichen genutzten Online-Spielen.

Der Trojaner, den BitDefender als "Trojan.PWS.OnlineGames.KDEU" erkennt, wird von den meisten aktuellen Virenscannern - auch Online-Lösungen - erkannt. Besser ist es aber, gleich beim Abrufen der Mails die nötige Vorsicht zu wahren und keine Daten auf fragwürdigen Websites anzugeben.

Accounts für beliebte Online-Games werden auf dem Schwarzmarkt massenhaft - und für die Verkäufer recht lukrativ - gehandelt. Eine weitere mögliche Geldquelle ist das Verkaufen der auf dem Account befindlichen Ausrüstung und Ingame-Währung in zweifelhaften Itemshops.

Quelle: www.gulli.com