[o1] DON666 am 09.04. 11:49
+11
-3
In dem Fall hält sich mein Mitgefühl für die Betroffenen durchaus in gewissen Grenzen, zumindest, so lange sich der Trojaner lediglich auf deren Kisten austobt.
@iPeople: Weil es eben auch normale Unschuldige/Unwissende treffen kann bzw. trifft. Nur weil jemand nicht so bewandert mit der Computermaterie ist, wünsche ich dem doch nicht gleich automatisch die Trojaner an den Hals. Bei denen, die sich Cheats besorgen wollen, naja, sollen sie halt auch noch eine kleine Payload obendrauf kriegen, meinetwegen.
@BloodEX: Es gibt Trottel, die nach buchstäblich allem auf YT suchen. Gerade im Zockbereich, hab im Forum genug Trottel getroffen, die statt im Steam-Supportbereich lieber auf YT suchen.
@BloodEX: Ja, die gibt's auch. Ich weiß da immer nicht, ob ich eigentlich lachen oder weinen soll. Mindestens einen Fall habe ich auch bereits gesehen, der sich beschwert hat, weil der Trainer inkompatibel mit der Steam-Version des Spiels war.
@BloodEX: Nach Cheats nicht, aber nach Hilfe. Also Unterstützung. Also Support. Ich raff es einfach nicht, wie bescheuert man sein muss, um (aus Prinzip, vermutlich) irgendwo anders Info zu suchen als auf der offiziellen Seite. Im Forum hab ich aber einen Trottel getroffen, der eiskalt Hilfe gesucht hat bei seinem Job als Cheattester, also ob ein Cheat sicher ist. Da kam er echt ins Steamforum mit.
[o3] ItMightBeDennis am 09.04. 12:43
Als ob das was neues ist. Solche Videos mit angeblichen "Gratis Hacks" gibts schon Jahre. Wer darauf reinfällt, selbst schuld. Da hab ich kein Mitleid.
Einerseits wird der Trojaner in RAR verpackt, andererseits soll er sich selbstständig entpacken. Für alle, die jemals ein RAR (oder irgendein Archiv) aus der Nähe gesehen habe, ist das ein Widerspruch.
@Kirill: Vielleicht sind selbstentpackende RARs gemeint, die als .exe daherkommen? Klingt jedenfalls etwas merkwürdig. Zumindest dürfte da ohne aktives Klicken des Users normalerweise (mal wieder) nichts passieren.
@DON666: Selbst wenn's 'ne EXE ist, man muss sie nach dem Runterladen immer noch ausführen. Also nach wie vor alles andere als selbstständig. Wobei es genug Trottel gibt, die zwischen "Link geklickt" und "Malware läuft" anscheined eine Erinnerungslücke haben. Dass se den Download bestätigt haben und die Malware ausgeführt haben, tut ja nun echt nix zur Sache...
[re:3] techniknarr am 09.04. 16:08
@Kirill: Ich frage mich auch wie der Download direkt startet nach dem man den Link klickt. Bei jedem Browser den ich bisher hatte wurde stets be einem Download um die Bestätigung gefragt, und von alleine hat sich nach dem Herunterladen auch bisher nie was automatisch geöffnet. (Nutze nur Firefox, Chrome, Chromium oder Epiphany)
@techniknarr: Auch wenn du diese ganz, ganz bösen Browser von dieser ganz, ganz, bösen Firma, also den Microsoft Internet Explorer oder den Microsoft Edge benutzt, ist das nicht anders, ob du's glaubst oder nicht.
[re:1] techniknarr am 10.04. 16:41
@DON666: Ich wollte keinem Browser etwas unterstellen (habe letzt den Edge auf einem Tablet genutzt und selbst dort kam die Frage, ob die gewünschte Datei heruntergeladen werden soll oder nicht).
Das war eine ernst gemeinte Frage, wie es eine Seite schafft, ohne jedwede Interaktion des Benutzers (abgesehen vom Aufruf der Seite) einen Download zu starten und die Datei dann ausführen zu lassen ("(...) selbstständig lädt und entpackt (...)") würde ich echt gerne wissen.
Das war eine ernst gemeinte Frage, wie es eine Seite schafft, ohne jedwede Interaktion des Benutzers (abgesehen vom Aufruf der Seite) einen Download zu starten und die Datei dann ausführen zu lassen ("(...) selbstständig lädt und entpackt (...)") würde ich echt gerne wissen.
[o5] CodeZero1990 am 09.04. 12:44
Es gibt da Videos, wie Du einen Cheat zum Beispiel anwenden kannst, und es wird gezeigt, wie dieser sich im SPiel dann auswirken kann. Ich bin auch kein Freund von Cheats. Das ist wie falsches Spielen.
"Arglose Spieler werden so auf angebliche Downloads-Seiten für Cheats gelockt" ... "Der Trojaner wird über Links im Kommentar-System von YouTube verteilt" ... ja, was denn nun????? Das ganze klingt nach einem ganz flauen Nachrichtentag. Und neu ist das ganze auch nicht, seit es Second Life gibt, gibt es Videos, in denen ein Tool gezeigt wird, mit dem man sich ganz viele Linden-Dollar holen kann.
Ein paar Details mehr wären sinnvoll: Läuft diese Malware nur im RAM oder will die sich installieren oder wie? In letzterem Fall hätten ja von fachleuten installierte Systeme kein Problem, weil nur Laien ständig den ersten Account mit vollen Administratorrechten fürs Surfen usw. verwenden.
Die Infektionsart wird auch sehr unterschiedlich angegeben, irgendwie ist das alles nix.
Die Infektionsart wird auch sehr unterschiedlich angegeben, irgendwie ist das alles nix.
[re:1] wertzuiop123 am 09.04. 14:06
@Drachen: Und wie kommt die Malware an die Passwörter? Geben die User nochmal das Admin-PW für den Chrome ein?
[re:1] Hideko1994 am 10.04. 11:45
@wertzuiop123: ich denke mal, entweder lesen sie diese direkt aus den Dateien von der Festplatte.
Also die Datei "Login Data" unter "C:\Users\$username\AppData\Local\Google\Chrome\User Data\Default" bei Chrome
die datei "login.json" unter %Appdata%\Mozilla\Firefox\Profiles\* bei Firefox
etc.
oder die Dateien werden wie mit den andreren Dateien aufm Desktop mit in den Ordner kopiert, gepackt und übersandt.
Also die Datei "Login Data" unter "C:\Users\$username\AppData\Local\Google\Chrome\User Data\Default" bei Chrome
die datei "login.json" unter %Appdata%\Mozilla\Firefox\Profiles\* bei Firefox
etc.
oder die Dateien werden wie mit den andreren Dateien aufm Desktop mit in den Ordner kopiert, gepackt und übersandt.
[re:1] wertzuiop123 am 10.04. 11:50
[re:1] Hideko1994 am 10.04. 12:23
@wertzuiop123: vielelleicht müsste ich mir mal in einer Virtuellen Maschine anschauen.. wie genau er bei den Browserdaten vorgeht.
Zumindest hab ich es beim ersten Testlauf schon gesehen, dass bei mir im TEMP Ordner (%TEMP%) ein Ordner namens "EE9937CE" vorhanden ist.
Inhalt des Ordners EE9937CE:
1 Ordner mit Namen Directory
1 ZIP-Datei mit dem Namen EE9937CE.
Innerhalb des Directory Ordners sind wiederrum 3 Ordner zu finden - "Browsers", "Files" und Wallets"
Im Ordner Browsers sind vier 0 KB-Dateien mit den Namen"Autofill.txt", "CC.txt", "Cookies.txt" und "Passwords.txt" zu finden. 0 KB deshalb weil beim Firefox nichts vorzufinden war, außer Cookies - aber ich glaub dass der Trojaner nach speziellen Cookies suchte (denke mal Sessionstore)
Im Files Ordner fand ich zwei Ordner namens Desktop und Filezilla. Im Ordner Desktop fand ich meine zum Test angelegte Textdokument "*** ***.txt" (Name mit Sternchen umgeändert, da ich eine Beleidgung als Namen verwendet hatte. Inhalt dieses Textdokuments war auch der selbe wie der auf dem Windows-Desktop.)
Die drei PDF Dateien auf dem Windows-Desktop lagen, waren in dem Verzeichnis nicht zu finden.
Der Ordner "Filezilla" war leer. ebenso wie der "Wallets"-Ordner.
Getestet wurde es auf einer Virtuellen Maschine mit Windows 8.1 Pro mit dem Defender der 1726 Tage alte Definitionen besitzt. Es sind keine Gasterweiterungen installiert.
Kleine Info: das Alter der Definition innerhalb der Virtuellen Maschine ist dementsprechend Absicht, weil ich nicht möchte, dass der Defender nicht automatisch eingreift.
Zumindest hab ich es beim ersten Testlauf schon gesehen, dass bei mir im TEMP Ordner (%TEMP%) ein Ordner namens "EE9937CE" vorhanden ist.
Inhalt des Ordners EE9937CE:
1 Ordner mit Namen Directory
1 ZIP-Datei mit dem Namen EE9937CE.
Innerhalb des Directory Ordners sind wiederrum 3 Ordner zu finden - "Browsers", "Files" und Wallets"
Im Ordner Browsers sind vier 0 KB-Dateien mit den Namen"Autofill.txt", "CC.txt", "Cookies.txt" und "Passwords.txt" zu finden. 0 KB deshalb weil beim Firefox nichts vorzufinden war, außer Cookies - aber ich glaub dass der Trojaner nach speziellen Cookies suchte (denke mal Sessionstore)
Im Files Ordner fand ich zwei Ordner namens Desktop und Filezilla. Im Ordner Desktop fand ich meine zum Test angelegte Textdokument "*** ***.txt" (Name mit Sternchen umgeändert, da ich eine Beleidgung als Namen verwendet hatte. Inhalt dieses Textdokuments war auch der selbe wie der auf dem Windows-Desktop.)
Die drei PDF Dateien auf dem Windows-Desktop lagen, waren in dem Verzeichnis nicht zu finden.
Der Ordner "Filezilla" war leer. ebenso wie der "Wallets"-Ordner.
Getestet wurde es auf einer Virtuellen Maschine mit Windows 8.1 Pro mit dem Defender der 1726 Tage alte Definitionen besitzt. Es sind keine Gasterweiterungen installiert.
Kleine Info: das Alter der Definition innerhalb der Virtuellen Maschine ist dementsprechend Absicht, weil ich nicht möchte, dass der Defender nicht automatisch eingreift.
[re:2] Hideko1994 am 12.04. 23:33
@Hideko1994: So 2 Tests diesmal:
1. Feststellung: Es wird immer die Selbe Verzeichnisstruktur und die Selben Namen verwendet zum einen für das Speichern des Trojaners auf der Festplatte sowie der ordner der verpackt verschickt wird.
2. Feststellung: Firefox ignorierte er komplett. Also da wird nichts ausgelesen. Deshalb auch die 0 KB Dateien im Ordner Browser.
Chrome, wie bereits im Artikel stehend, schon. Login Daten sowie AutoFill stehen jeweils im Klartext - Cookies ebenfalls. CC.txt blieb weiter leer.
Die Browser Daten wurden wohl von einer Anwendung namens "IOcrypter (1).exe" entschlüsselt und in die jeweiligen Text-Dateien geschrieben.
Beim Ordner FileZilla werden wie beim Desktop-Ordner entsprechende XML Dateien ("filezilla_recentservers.xml" sowie "filezilla_sitemanager.xml") aus dem %appdata% ausgelesen und in den EE9937CE-Ordner geschrieben. Auch das übernahm das Programm "IOcrypter (1).exe"
Bei den Login Daten sowie FileZilla hab ich mich übrigens nirgendswo mit meinem realen Daten angemeldet, sondern habe mir eine zweite VM aufgesetzt auf dem ein XAMPP- und ein IIS-System (wegen dem MailEnable WebMail) liefen und hab auf dem XAMPP-System einmal Joomla und Moodle installiert, eingerichtet und mit einem Test Account (Name: "Test") jeweils angemeldet und Login gespeichert.
1. Feststellung: Es wird immer die Selbe Verzeichnisstruktur und die Selben Namen verwendet zum einen für das Speichern des Trojaners auf der Festplatte sowie der ordner der verpackt verschickt wird.
2. Feststellung: Firefox ignorierte er komplett. Also da wird nichts ausgelesen. Deshalb auch die 0 KB Dateien im Ordner Browser.
Chrome, wie bereits im Artikel stehend, schon. Login Daten sowie AutoFill stehen jeweils im Klartext - Cookies ebenfalls. CC.txt blieb weiter leer.
Die Browser Daten wurden wohl von einer Anwendung namens "IOcrypter (1).exe" entschlüsselt und in die jeweiligen Text-Dateien geschrieben.
Beim Ordner FileZilla werden wie beim Desktop-Ordner entsprechende XML Dateien ("filezilla_recentservers.xml" sowie "filezilla_sitemanager.xml") aus dem %appdata% ausgelesen und in den EE9937CE-Ordner geschrieben. Auch das übernahm das Programm "IOcrypter (1).exe"
Bei den Login Daten sowie FileZilla hab ich mich übrigens nirgendswo mit meinem realen Daten angemeldet, sondern habe mir eine zweite VM aufgesetzt auf dem ein XAMPP- und ein IIS-System (wegen dem MailEnable WebMail) liefen und hab auf dem XAMPP-System einmal Joomla und Moodle installiert, eingerichtet und mit einem Test Account (Name: "Test") jeweils angemeldet und Login gespeichert.
[o9] rAcHe kLoS am 09.04. 16:34