WoW och keylogger....!?
Jag tar mig friheten att ställe en kraftigt off-topic fråga åt min systerson med en förhoppning att någon kan bringa klarhet i det hela.
Han är en idog World of Warcraft-spelare. Datorn är en Windows Vista 64bit-maskin med McAfee® Security Centre bakom en DIR300 med trådlöst, dolt nätverk med WPA2 etc. Dator, OS, AV och router har de senaste uppgraderingarna tillgängliga och hans lösenord och säkerhetsfrågor är rimligt satta.
Nyligen blev hans konto under en veckas tid krackat 5 gånger och alla prylar försvann. Därefter ledsande Blizzard och stängde ner hans konto.
Vi har nu gått igenom datorn enligt de instruktioner som Blizzard gett oss (http://forums.wow-europe.com/thread.html?topicId=5383442401&sid=1) utan att hitta vare sig någon trojansk häst, keylogger, virus eller annat.
Hur är detta möjligt?
Håkan
Han är en idog World of Warcraft-spelare. Datorn är en Windows Vista 64bit-maskin med McAfee® Security Centre bakom en DIR300 med trådlöst, dolt nätverk med WPA2 etc. Dator, OS, AV och router har de senaste uppgraderingarna tillgängliga och hans lösenord och säkerhetsfrågor är rimligt satta.
Nyligen blev hans konto under en veckas tid krackat 5 gånger och alla prylar försvann. Därefter ledsande Blizzard och stängde ner hans konto.
Vi har nu gått igenom datorn enligt de instruktioner som Blizzard gett oss (http://forums.wow-europe.com/thread.html?topicId=5383442401&sid=1) utan att hitta vare sig någon trojansk häst, keylogger, virus eller annat.
Hur är detta möjligt?
Håkan
Vad jag vet är lösenord på mail och konto bytt men då från samma dator så det ska väl inte göra till eller från. Det lär ju vara loggat i så fall... ;(
Men du menar att vare sig brandvägg eller AV kan förhindra en sådan här attack och inte heller AV-scanning eller de andra sökåtgärderna vi blivit ombedda att göra kan identifiera det hela?
Men du menar att vare sig brandvägg eller AV kan förhindra en sådan här attack och inte heller AV-scanning eller de andra sökåtgärderna vi blivit ombedda att göra kan identifiera det hela?
En sån här "attack" kan gå till på ett antal olika sätt:
*Datorn sitter på ett publikt nätverk och har ingen fungerande brandvägg (gäller inte i ditt fall)
*Ett säkerhetshål i tex webläsare eller mailklient gör att elak kod körs bara man besöker en viss websida - detta är väldigt osannolikt om man har ett uppdaterat system och har ett uppdaterat antivirusprogram
*Någon skickar en länk med en trojan/keylogger via mail/msn/annan chat, eller länken läggs ut på en hemsida med någon lockande text. Om användaren klickar på länken och antivirusprogrammet ännu inte har med detta program i sina definitioner så blir man infekterad, sedan visas ju givetvis det roliga som man lockade med och användaren misstänker inget.
*Någon lyckas gissa lösenordet för mail eller annat konto genom att försöka väldigt många gånger.
Dom två senaste är absolut vanligast. Det görs hundratals nya varianter på sådana här program varje dag, dom som är noggranna nog att inte sprida "sin" variant för mycket kan klara sig från att få den inkluderad i antivirusprogrammens databaser och då dröjer det väldigt länge innan det blir upptäckt.
Observera följande citat från sidan du länkade:
*Datorn sitter på ett publikt nätverk och har ingen fungerande brandvägg (gäller inte i ditt fall)
*Ett säkerhetshål i tex webläsare eller mailklient gör att elak kod körs bara man besöker en viss websida - detta är väldigt osannolikt om man har ett uppdaterat system och har ett uppdaterat antivirusprogram
*Någon skickar en länk med en trojan/keylogger via mail/msn/annan chat, eller länken läggs ut på en hemsida med någon lockande text. Om användaren klickar på länken och antivirusprogrammet ännu inte har med detta program i sina definitioner så blir man infekterad, sedan visas ju givetvis det roliga som man lockade med och användaren misstänker inget.
*Någon lyckas gissa lösenordet för mail eller annat konto genom att försöka väldigt många gånger.
Dom två senaste är absolut vanligast. Det görs hundratals nya varianter på sådana här program varje dag, dom som är noggranna nog att inte sprida "sin" variant för mycket kan klara sig från att få den inkluderad i antivirusprogrammens databaser och då dröjer det väldigt länge innan det blir upptäckt.
Observera följande citat från sidan du länkade:
Och det är en sån här som de pratar om ovan.
http://eu.blizzard.com/store/details.xml?id=221003617
Finns även som applikation till iPhone och är då gratis. Finns i appstore.
http://eu.blizzard.com/store/details.xml?id=221003617
Finns även som applikation till iPhone och är då gratis. Finns i appstore.
Det är inte så att han loggar in från fler än en dator? Kan ju vara nån polare han loggat in från eller som han delar lösenord med.
Om inte så skulle jag formatera om, skaffa en authenticator sam byta lösen på mailen.
Om inte så skulle jag formatera om, skaffa en authenticator sam byta lösen på mailen.
Stort tack för er respons allihopa. En Authenticator ska införskaffas, systersonens riskmedvetande höjas än mer bl a med hjälp av alla era tips (och den här gången är han med och rensar upp så han börjar förstå konsekvenserna 
) och så får det bli en Format C:/S. Suck...
1. Ska man behöva lägga in Zone Alarm eller motsvarande för att ha bättre koll på utgående trafik? Som jag har förstått så ger hårdvarubrandväggen inte lika bra/enkelt skydd på den punkten.
2. Vad är den största säkerhetsrisken med Authenticatorn, dvs orsaken till att den inte ger 100% skydd?
) och så får det bli en Format C:/S. Suck...1. Ska man behöva lägga in Zone Alarm eller motsvarande för att ha bättre koll på utgående trafik? Som jag har förstått så ger hårdvarubrandväggen inte lika bra/enkelt skydd på den punkten.
2. Vad är den största säkerhetsrisken med Authenticatorn, dvs orsaken till att den inte ger 100% skydd?
Redigerat:
Problemet är om du får in skräp i datorn så kan den ändra i wow-klienten så att koderna som authenticatorn genererar skickas till kaparen istället för wow-servern.swehjo skrev:
Zone Alarm tycker jag inte behövs, det är ändå få normala användare som förstår vilken trafik som ska blockeras och inte. Och hackarna kan ändå kringgå skyddet. Man kommer långt med att inte vara inloggad som admin och att inte ladda ner en massa skräp (hacks, keygens osv).
Är det en välskriven attackkod så kan den dölja sig för allt vad Antivirus mjukvarubrandväggar ich HiJackThis :ar heter.
För att göra en enkel liknelse så är det som med byggklossar, Så länge viruset/elakingen ligger under (startar före) skyddsprogrammen (av/brandvägg osv) så kan man också styra vad de ser. Därmed kommer dessa program att tycka att allt är bra även om datorn är hur smittad som helst.
En riktig hårdvarubrandvägg rätt konfigurerad gör att man kan se att det är nått skumt. Analysen av vad exakt det är i ett sånt läge är dock inte direkt lätt
För att göra en enkel liknelse så är det som med byggklossar, Så länge viruset/elakingen ligger under (startar före) skyddsprogrammen (av/brandvägg osv) så kan man också styra vad de ser. Därmed kommer dessa program att tycka att allt är bra även om datorn är hur smittad som helst.
En riktig hårdvarubrandvägg rätt konfigurerad gör att man kan se att det är nått skumt. Analysen av vad exakt det är i ett sånt läge är dock inte direkt lätt
Nu är jag ganska säkerhetsmedveten, så jag har inte själv haft problem de senaste 10 åren, men jag har aldrig kört annat än två program för att kontrollera suspekta filer; dels ClamAV (finns för *nix, windows, mac mfl) som rent anti-virus och LavaSofts Ad-Aware (enbart windows) som malware detektor. Båda programmen är gratis och rätt användarvänliga numera.