Blizzard ostrzega przed trojanami wykradającymi hasła do kont Battle.net

[Gram.pl 3]

Robert Sawicki

Samo oprogramowanie daje sobie radę nawet wtedy, gdy korzystamy z Blizzard Authenticatora. Najlepsza część wiadomości? Według Blizza, złośliwe oprogramowanie można wykryć dopiero wtedy, gdy jest już aktywne. Po szczegóły wędrujcie do rozwinięcia newsa.

Przeczytaj cały tekst "Blizzard ostrzega przed trojanami wykradającymi hasła do kont Battle.net" na gram.pl

[Boguslav4 0]

Też mi token zabezpieczający, skoro wystarczy kilka uruchomień, by mały trojan znalazł wzorzec w kodzie logującym...
Wszędzie informowali, że konto bez tokena w zasadzie nie ma żadnego zabezpieczenia, teraz tradycyjnie okazuje się, że wystarczy czas, by każde zabezpieczenie zostało złamane.

[ww3pl 0]

Dlatego jakiś czas temu Blizz dodał zabezpieczenie w postaci wysyłania wiadomości SMS na telefon komórkowy (tak jak zrobił to Microsoft z kontem Xbox Live).

Korzystam, polecam, bariera, przynajmniej póki co, nie do zdarcia przez nikogo.

[One_of_the_Many 9]

Chwilka, Blizzard nic nie mówił o tym, że trojan potrafi sobie wygenerować następny kod z autentykatora. To nie powinno być możliwe bez włamania do bazy danych Blizzarda. Z komunikatu Blizzarda jasno wynika, że trojan jest w stanie wykraść dane logowania i aktualny token.

[ww3pl 0]

Dnia 03.01.2014 o 11:35, One_of_the_Many napisał:

Chwilka, Blizzard nic nie mówił o tym, że trojan potrafi sobie wygenerować następny kod
z autentykatora. To nie powinno być możliwe bez włamania do bazy danych Blizzarda. Z
komunikatu Blizzarda jasno wynika, że trojan jest w stanie wykraść dane logowania i aktualny
token.

Jeśli dobrze pamiętam, bodaj trzy tokeny, razem z datą logowania, wystarczą danemu programowi do wygenerowania kolejnych kodów z dużym prawdopodobieństwem powodzenia, stąd ostrzeżenie kierowane jest także do kont, które posiadają authenticator. Gdyby zapisanie, jak to ująłeś, aktualnego tokenu, nie miało większego znaczenia, to na tym fakcie nikt by się nie skupiał.

[One_of_the_Many 9]

Dnia 03.01.2014 o 11:39, ww3pl napisał:

Jeśli dobrze pamiętam, bodaj trzy tokeny, razem z datą logowania, wystarczą danemu programowi
do wygenerowania kolejnych kodów, stąd ostrzeżenie kierowane jest także do kont, które
posiadają authenticator. Gdyby zapisanie, jak to ująłeś, aktualnego tokenu, nie miało
większego znaczenia, to na tym fakcie nikt by się nie skupiał.

Pojedynczy token też wystarczy do zrobienia bałaganu. Wystarczy by się zalogować, zmienić hasło, sprzedać ekwipunek, ukraść złoto. A żeby usunąć sam autentykator albo zamienić na inny to nie wystarczy przypadkiem też pojedynczy kod?

Jeśli rzeczywiście 3 kolejne tokeny wystarczą by wygenerować losowe parametry autentykatora, bez czasochłonnego brute force''a, to słabym zabezpieczeniem jest taki autentykator :(

[Eternal101 0]

Ostatnio mi ktoś próbował zmienić sposób logowania i zablokowali konto, musiałem pisać do nich a nawet nic nie ściągałem żadnych programów grafiki nic kompletnie (programy wersje demo i freeware oczywiście ). Ale teraz myślę że będzie ok.

[One_of_the_Many 9]

W jaki sposób zablokowali Ci konto? Obecnie standardowo blokują konto i wymuszają zmianę hasła gdy logujesz się z nowej lokalizacji. Jeśli pamiętasz swoje "sekretne hasło", to nie musisz nigdzie pisać. Ale jeśli go nie pamiętasz, to rzeczywiście masz problem :D

[zadymek 7]

R+Windows i szukać MSinfo32? Hmm, u mnie z jakiegoś powodu działa to tylko z poziomu wyszukiwarki w menu Start. Może nie tylko u mnie..

[ww3pl 0]

Windows 7 64bit here, poszło zgodnie z instrukcjami. Jeśli korzystasz z innego systemu, to daj znać.

[zadymek 7]

Dnia 03.01.2014 o 12:50, ww3pl napisał:

Windows 7 64bit here, poszło zgodnie z instrukcjami. Jeśli korzystasz z innego systemu,
to daj znać.

Windows 7 64 bit here ;)

PS Może to jakaś lokalna przypadłość mojego systemu. W każdym razie napisać nie zaszkodzi - gwoli upowszechnienia.

[Phobos_s 0]

Część antywirusów jest już w stanie odnaleźć tego trojana i go usunąć, m.in.: Ad-aware, BitDefender, F-Secure, Ikarus, Mcafee, Panda, Symantec/Norton, TrendMicro-HouseCall i VIPRE.

Na forum Blizza podano także instrukcję jak pozbyć się tego trojana ręcznie:
http://us.battle.net/wow/en/forum/topic/11041384892?page=5#91

[ww3pl 0]

Dnia 03.01.2014 o 13:00, Phobos_s napisał:

Część antywirusów jest już w stanie odnaleźć tego trojana i go usunąć, m.in.: Ad-aware,
BitDefender, F-Secure, Ikarus, Mcafee, Panda, Symantec/Norton, TrendMicro-HouseCall i
VIPRE.

Na forum Blizza podano także instrukcję jak pozbyć się tego trojana ręcznie:
http://us.battle.net/wow/en/forum/topic/11041384892?page=5#91

Chwilowo wymiękam po serii newsów, ale postaram się możliwie najszybciej przetłumaczyć i wrzucić do wiadomości. Dzięki.

[Shinigami 0]

Jedno jest pewne, ciemna strona internetu rzuca spory cień już na początku roku ;D

[Phobos_s 0]

Dnia 03.01.2014 o 13:06, ww3pl napisał:

Chwilowo wymiękam po serii newsów, ale postaram się możliwie najszybciej przetłumaczyć
i wrzucić do wiadomości. Dzięki.

Instrukcja jest następująca:

1) Pobieramy AutoRuns z http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Uruchamiamy AutoRuns.exe
Odszukujemy na liście Disker oraz Disker64 i odznaczmy boxy po lewej stronie.
Następnie zaznaczamy prawym przyciskiem myszy i wybieramy opcję Usuń.

2) Pobieramy ProcessExplorer z http://technet.microsoft.com/en-ca/sysinternals/bb896653.aspx
Uruchamiamy procexp.exe
Pod explorer.exe powinna znajdować się lista rundell32.exe.
Szukamy tych, przy których po wskazaniu kursorem pojawi się dymek z informacją Disker i/lub Disker64.
Klikamy je prawym przyciskiem myszy i wybieramy opcję Zamknij proces a następnie OK.

3) Pobieramy SuperAntiSpyware z http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE
Odznaczamy obie opcje w lewym dolnym rogu i klikamy Express.
Po instalacji zamykamy program.
Idziemy do folderu c:\users\nazwa\appdata\local\temp\ (gdzie "nazwa" to nazwa użytkownika Windows).
Klikamy prawym przyciskiem myszy na w_win.dll i wybieramy opcję SUPERDelete File Removal. Powinien pojawić się ekran z pytaniem czy na pewno chce się usunąć ten plik, oraz prośbą o wpisanie YES. Wpisujemy YES.
To samo robimy dla pliku w_64.dll

4) Uruchamiamy ponownie komputer i wszystko powinno być ok.
Odinstalowujemy SuperAntiSpyware i usuwamy ProcessExplorer i AutoRuns.

[aope 0]

Huh. Ludzie nigdy sie nie nauczą, że pobieranie plików z nieznanych źródeł to ryzyko. A później panika, że konto ukradli/włamali się/pieniądze z konta znikają/itd. Aż dziw bierze, że w dobie tak powszechnego dostępu do informacji a tym samym poradników ds. bezpieczeństwa, wciąż obecna jest tak ogromna grupa niepełnosprytnych. Z drugiej strony na takich też można zarobić, wiedza o tym producenci oprogramowania antywirusowego.

[ww3pl 0]

Dzięki - wrzuciłem do newsa z ładnymi podziękowaniami.

[Phobos_s 0]

Dnia 03.01.2014 o 13:37, ww3pl napisał:

Dzięki - wrzuciłem do newsa z ładnymi podziękowaniami.

Nie ma sprawy :) Pozdrawiam :)

[Fred778 0]

Jakiś rok temu mnie zhackowali do tej pory nie wiem w jaki sposób, nigdy nic podejrzanego nie sciągałem... Na szczęście miły Pan z supportu wszystko mi odzyskał. Jak macie prawidłowe dane na swoim koncie, to nawet jak coś stracicie to nie powinno być problemu z odzyskaniem. Dane muszą być prawidłowe, ponieważ musisz im wysłać skan swojego dokumentu :P

[Gumisiek2 2]

Dnia 03.01.2014 o 11:06, ww3pl napisał:

Dlatego jakiś czas temu Blizz dodał zabezpieczenie w postaci wysyłania wiadomości SMS
na telefon komórkowy (tak jak zrobił to Microsoft z kontem Xbox Live).

Korzystam, polecam, bariera, przynajmniej póki co, nie do zdarcia przez nikogo.

Nie pobiera Ci za to żadnych dodatkowych opłat z konta telefonu? Na logikę nie powinno, w końcu SMS jest wysyłany do Ciebie, jednak mi po aktywowaniu tej opcji po każdym SMS-ie od Blizza wyskakiwał komunikat w stylu "Proszę pamiętać, że opłaty roamingowe mogą być naliczone dopiero po upływie jakiegoś czasu.".