X
Kommentare zu:

Cheater im Visier:
Vorsicht, neuer YouTube-Trojaner stiehlt Passwörter

oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
[o1] DON666 am 09.04. 11:49
In dem Fall hält sich mein Mitgefühl für die Betroffenen durchaus in gewissen Grenzen, zumindest, so lange sich der Trojaner lediglich auf deren Kisten austobt.
[re:1] iPeople am 09.04. 12:58
+1 -3
@DON666: Warum nur in diesem Fall ?
[re:1] DON666 am 09.04. 13:43
+3 -1
@iPeople: Weil es eben auch normale Unschuldige/Unwissende treffen kann bzw. trifft. Nur weil jemand nicht so bewandert mit der Computermaterie ist, wünsche ich dem doch nicht gleich automatisch die Trojaner an den Hals. Bei denen, die sich Cheats besorgen wollen, naja, sollen sie halt auch noch eine kleine Payload obendrauf kriegen, meinetwegen.
[o2] BloodEX am 09.04. 11:49
+9 -1
Welcher Noob sucht denn auf YouTube nach Cheats? :D
[re:1] Kirill am 09.04. 12:45
+6 -1
@BloodEX: Es gibt Trottel, die nach buchstäblich allem auf YT suchen. Gerade im Zockbereich, hab im Forum genug Trottel getroffen, die statt im Steam-Supportbereich lieber auf YT suchen.
[re:1] BloodEX am 09.04. 12:50
+2 -3
@Kirill: What? Es gibt Leute, die sogar im Steam-Supportbereich nach Cheats suchen? :o
[re:1] crmsnrzl am 09.04. 13:50
+1 -
@BloodEX: Ja, die gibt's auch. Ich weiß da immer nicht, ob ich eigentlich lachen oder weinen soll. Mindestens einen Fall habe ich auch bereits gesehen, der sich beschwert hat, weil der Trainer inkompatibel mit der Steam-Version des Spiels war.
[re:2] Kirill am 09.04. 15:54
+3 -
@BloodEX: Nach Cheats nicht, aber nach Hilfe. Also Unterstützung. Also Support. Ich raff es einfach nicht, wie bescheuert man sein muss, um (aus Prinzip, vermutlich) irgendwo anders Info zu suchen als auf der offiziellen Seite. Im Forum hab ich aber einen Trottel getroffen, der eiskalt Hilfe gesucht hat bei seinem Job als Cheattester, also ob ein Cheat sicher ist. Da kam er echt ins Steamforum mit.
[o3] ItMightBeDennis am 09.04. 12:43
+7 -
Als ob das was neues ist. Solche Videos mit angeblichen "Gratis Hacks" gibts schon Jahre. Wer darauf reinfällt, selbst schuld. Da hab ich kein Mitleid.
[o4] Kirill am 09.04. 12:43
+3 -
Einerseits wird der Trojaner in RAR verpackt, andererseits soll er sich selbstständig entpacken. Für alle, die jemals ein RAR (oder irgendein Archiv) aus der Nähe gesehen habe, ist das ein Widerspruch.
[re:1] Der_da am 09.04. 13:43
+ -1
@Kirill: Das hab ich mir beim Lesen der ersten paar Sätze eben auch gedacht.
[re:2] DON666 am 09.04. 13:45
+3 -
@Kirill: Vielleicht sind selbstentpackende RARs gemeint, die als .exe daherkommen? Klingt jedenfalls etwas merkwürdig. Zumindest dürfte da ohne aktives Klicken des Users normalerweise (mal wieder) nichts passieren.
[re:1] Kirill am 09.04. 16:01
+1 -
@DON666: Selbst wenn's 'ne EXE ist, man muss sie nach dem Runterladen immer noch ausführen. Also nach wie vor alles andere als selbstständig. Wobei es genug Trottel gibt, die zwischen "Link geklickt" und "Malware läuft" anscheined eine Erinnerungslücke haben. Dass se den Download bestätigt haben und die Malware ausgeführt haben, tut ja nun echt nix zur Sache...
[re:1] DON666 am 09.04. 20:34
+ -
@Kirill: Sag ich doch...
[re:1] Kirill am 10.04. 08:18
+1 -
@DON666: Ich weiß. Ich wollte nur noch eine Anekdote aus dem Hinterkopf rausholen. Ich fass einfach nicht, wie doof Leute sein können.
[re:3] techniknarr am 09.04. 16:08
+1 -1
@Kirill: Ich frage mich auch wie der Download direkt startet nach dem man den Link klickt. Bei jedem Browser den ich bisher hatte wurde stets be einem Download um die Bestätigung gefragt, und von alleine hat sich nach dem Herunterladen auch bisher nie was automatisch geöffnet. (Nutze nur Firefox, Chrome, Chromium oder Epiphany)
[re:1] DON666 am 09.04. 20:37
+ -1
@techniknarr: Auch wenn du diese ganz, ganz bösen Browser von dieser ganz, ganz, bösen Firma, also den Microsoft Internet Explorer oder den Microsoft Edge benutzt, ist das nicht anders, ob du's glaubst oder nicht.
[re:1] techniknarr am 10.04. 16:41
+ -
@DON666: Ich wollte keinem Browser etwas unterstellen (habe letzt den Edge auf einem Tablet genutzt und selbst dort kam die Frage, ob die gewünschte Datei heruntergeladen werden soll oder nicht).

Das war eine ernst gemeinte Frage, wie es eine Seite schafft, ohne jedwede Interaktion des Benutzers (abgesehen vom Aufruf der Seite) einen Download zu starten und die Datei dann ausführen zu lassen ("(...) selbstständig lädt und entpackt (...)") würde ich echt gerne wissen.
[re:1] DON666 am 10.04. 19:23
+ -
@techniknarr: Ich halte das schlicht für eine falsche Aussage. Ist mir zumindest - wie du ja auch schreibst - noch niemals untergekommen.
[o5] CodeZero1990 am 09.04. 12:44
+1 -1
Es gibt da Videos, wie Du einen Cheat zum Beispiel anwenden kannst, und es wird gezeigt, wie dieser sich im SPiel dann auswirken kann. Ich bin auch kein Freund von Cheats. Das ist wie falsches Spielen.
[o6] ErikP am 09.04. 13:37
+3 -2
Ganz ehrlich... Mit Cheatern und solchen die es werden wollen hab ich kein Mitleid.
[o7] Der_da am 09.04. 13:41
+1 -1
"Arglose Spieler werden so auf angebliche Downloads-Seiten für Cheats gelockt" ... "Der Trojaner wird über Links im Kommentar-System von YouTube verteilt" ... ja, was denn nun????? Das ganze klingt nach einem ganz flauen Nachrichtentag. Und neu ist das ganze auch nicht, seit es Second Life gibt, gibt es Videos, in denen ein Tool gezeigt wird, mit dem man sich ganz viele Linden-Dollar holen kann.
[o8] Drachen am 09.04. 13:57
+1 -
Ein paar Details mehr wären sinnvoll: Läuft diese Malware nur im RAM oder will die sich installieren oder wie? In letzterem Fall hätten ja von fachleuten installierte Systeme kein Problem, weil nur Laien ständig den ersten Account mit vollen Administratorrechten fürs Surfen usw. verwenden.
Die Infektionsart wird auch sehr unterschiedlich angegeben, irgendwie ist das alles nix.
[re:1] wertzuiop123 am 09.04. 14:06
+ -
@Drachen: Und wie kommt die Malware an die Passwörter? Geben die User nochmal das Admin-PW für den Chrome ein?
[re:1] Hideko1994 am 10.04. 11:45
+1 -
@wertzuiop123: ich denke mal, entweder lesen sie diese direkt aus den Dateien von der Festplatte.

Also die Datei "Login Data" unter "C:\Users\$username\AppData\Local\Google\Chrome\User Data\Default" bei Chrome

die datei "login.json" unter %Appdata%\Mozilla\Firefox\Profiles\* bei Firefox

etc.

oder die Dateien werden wie mit den andreren Dateien aufm Desktop mit in den Ordner kopiert, gepackt und übersandt.
[re:1] wertzuiop123 am 10.04. 11:50
+1 -
@Hideko1994: Das schon, die sind aber encrypted. Werden dann wohl Brute Force oder sowas versuchen
[re:1] Hideko1994 am 10.04. 12:23
+1 -
@wertzuiop123: vielelleicht müsste ich mir mal in einer Virtuellen Maschine anschauen.. wie genau er bei den Browserdaten vorgeht.

Zumindest hab ich es beim ersten Testlauf schon gesehen, dass bei mir im TEMP Ordner (%TEMP%) ein Ordner namens "EE9937CE" vorhanden ist.

Inhalt des Ordners EE9937CE:
1 Ordner mit Namen Directory
1 ZIP-Datei mit dem Namen EE9937CE.

Innerhalb des Directory Ordners sind wiederrum 3 Ordner zu finden - "Browsers", "Files" und Wallets"

Im Ordner Browsers sind vier 0 KB-Dateien mit den Namen"Autofill.txt", "CC.txt", "Cookies.txt" und "Passwords.txt" zu finden. 0 KB deshalb weil beim Firefox nichts vorzufinden war, außer Cookies - aber ich glaub dass der Trojaner nach speziellen Cookies suchte (denke mal Sessionstore)

Im Files Ordner fand ich zwei Ordner namens Desktop und Filezilla. Im Ordner Desktop fand ich meine zum Test angelegte Textdokument "*** ***.txt" (Name mit Sternchen umgeändert, da ich eine Beleidgung als Namen verwendet hatte. Inhalt dieses Textdokuments war auch der selbe wie der auf dem Windows-Desktop.)

Die drei PDF Dateien auf dem Windows-Desktop lagen, waren in dem Verzeichnis nicht zu finden.

Der Ordner "Filezilla" war leer. ebenso wie der "Wallets"-Ordner.

Getestet wurde es auf einer Virtuellen Maschine mit Windows 8.1 Pro mit dem Defender der 1726 Tage alte Definitionen besitzt. Es sind keine Gasterweiterungen installiert.
Kleine Info: das Alter der Definition innerhalb der Virtuellen Maschine ist dementsprechend Absicht, weil ich nicht möchte, dass der Defender nicht automatisch eingreift.
[re:2] Hideko1994 am 12.04. 23:33
+ -
@Hideko1994: So 2 Tests diesmal:

1. Feststellung: Es wird immer die Selbe Verzeichnisstruktur und die Selben Namen verwendet zum einen für das Speichern des Trojaners auf der Festplatte sowie der ordner der verpackt verschickt wird.

2. Feststellung: Firefox ignorierte er komplett. Also da wird nichts ausgelesen. Deshalb auch die 0 KB Dateien im Ordner Browser.

Chrome, wie bereits im Artikel stehend, schon. Login Daten sowie AutoFill stehen jeweils im Klartext - Cookies ebenfalls. CC.txt blieb weiter leer.

Die Browser Daten wurden wohl von einer Anwendung namens "IOcrypter (1).exe" entschlüsselt und in die jeweiligen Text-Dateien geschrieben.

Beim Ordner FileZilla werden wie beim Desktop-Ordner entsprechende XML Dateien ("filezilla_recentservers.xml" sowie "filezilla_sitemanager.xml") aus dem %appdata% ausgelesen und in den EE9937CE-Ordner geschrieben. Auch das übernahm das Programm "IOcrypter (1).exe"

Bei den Login Daten sowie FileZilla hab ich mich übrigens nirgendswo mit meinem realen Daten angemeldet, sondern habe mir eine zweite VM aufgesetzt auf dem ein XAMPP- und ein IIS-System (wegen dem MailEnable WebMail) liefen und hab auf dem XAMPP-System einmal Joomla und Moodle installiert, eingerichtet und mit einem Test Account (Name: "Test") jeweils angemeldet und Login gespeichert.
[o9] rAcHe kLoS am 09.04. 16:34
+2 -
Kommt natürlich drauf an, was für eine Art von Cheats die Leute suchen, geht es aber um Multiplayer Titel, dann verdrücke ich keine Träne für die Klientel welche darauf rein fällt ;)
[10] Soulwing am 10.04. 12:30
+1 -
Naja das über Youtube versucht wird Viren zu verteilen ist neues , aber die kannst überall einfangen und hat mit selbst Youtube nicht wirklich was tun. Da könntest auch dem Namen Facebook vorsetzen oder andere wo man auch diese Links zum Download verteilen könnte.
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture