Blog over PC Beveiliging
Berichten tagged inloggegevens
Trojan-PSW/W32.OnlineGames.x – Weg World of Warcraft
13 feb
Dit type Trojan steelt wachtwoorden en andere gevoelige informatie, tevens bestaat de mogelijkheid dat er meer malware gedownload wordt.
Deze familie van ‘Password stealers’ is vrij groot en is voornamelijk op jacht naar inloggegevens van online games zoals World of Warcraft. De gestolen inloggegevens worden doorgesluisd naar een ‘hacker’ die met deze gegevens op de bewuste account kan inloggen waarna alle bezittingen worden doorgesluisd naar een andere speler. Deze bezittingen worden later weer omgezet in wereldse valuta door middel van verkoop. Met miljoenen spelers zijn er al gauw duizenden slachtoffers, reken maar uit.
Deze trojans komen geregeld het systeem binnen via malafide e-mail bijlagen, via malafide links in MySpace en FaceBook of worden binnengehaald door wormen, Backdoors en Trojan-downloaders. Nadat de Trojan is geactiveerd nestelt deze zich in het systeem door zich in de Windows folder te kopiëren. Tevens wordt het automatisch opstarten van de Trojan verzekerd door een sleutelwaarde te plaatsen in:
[HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run]
Hierna gaat de Trojan op zoek naar Explorer.exe en injecteert dit proces door middel van een DLL.
Om de daadwerkelijke inloggegevens te bemachtigen ‘leest’ de Trojan het proces geheugen van de game exe’s zoals WOW.EXE (World of Warcraft), ElementClient.exe (Perfect World), CabalMain.exe (Cabal Online). Ook is het mogelijk dat de Trojan Keylogger capaciteiten bezit of het adres van de game server probeert te achterhalen uit CurrentServer.ini. De DLL bevat vaak een gecodeerde URL waar de gestolen gegevens naar toe worden gezonden, de meeste hiervan bevinden zich in China.
Buiten deze schadelijke gevolgen worden soms ook startpagina’s en/of zoekresultaten aangepast, AntiVirus producten afgesloten, update mogelijkheden uitgeschakeld en vertragen sommige pc enorm door een hoog cpu gebruik van de Trojan.
Verwijdering vindt in principe plaats aan de hand van onderstaande stappen;
1) uitschakelen van Trojan proces zelf
2) verwijdering van Trojan bestanden
3) verwijdering van Trojan registersleutels
4) opschoning & controle
Maar voor onervaren gebruikers is het aan te raden de hulp van een expert in te schakelen.
Het direct wijzigen van de inloggegevens spreekt voor zich.
Bescherm uw FTP inloggegevens tegen trojans
27 sep
FTP, oftewel File Transfer Protocol, is de standaard methode voor het uploaden van scriptbestanden naar een webserver. Er zijn meerdere bekende FTP programma’s; CoffeeCup Direct FTP, TransSoft FTP Control 4, Core FTP, GlobalScape CuteFTP, FileZilla, Far Manager (met FTP plugin), FlashFXP, SmartFTP, FTP Navigator en Total Commander. Het probleem met het FTP protocol is echter dat de gebruikersnaam en het wachtwoord als ‘plain text’ worden verstuurd.
Verschillende Trojans, zoals bijvoorbeeld de Daurso Trojan, stelen deze inloggegevens en misbruiken deze informatie. Uw site wordt geïnjecteerd met Malware of is in z’n geheel niet meer voor u bereikbaar. Veiliger is het om andere protocollen te gebruiken zoals SFTP, FTPS of SCP.
SFTP (Secure File Transfer Protocol) is FTP over SSH (Secure shell) en FTPS (File Transfer Protocol SSL)is FTP over SSL (Secure Sockets Layer). SSH en SSL zijn encryptie-protocollen die communicatie op het Internet beveiligen. Het grote voordeel van SFTP ten opzichte van FTP is dat alle pakketen, zowel de control sessie als de data sessie, versleuteld worden door een encrytpie methodiek (AES, 3DES etc.). SFTP vindt plaats over de SSH poort; TCP poort 22 en staat standaard aan als OpenSSH wordt geïnstalleerd. FTPS daarintegen geeft de mogelijkheid of de data sessie wel of niet versleuteld moet worden. Omdat reeds versleutelde data niet opnieuw versleuteld hoeft te worden kan dit bandbreedte besparen. FTPS vindt plaats over TCP/UDP 990 poort voor de control sessie en TCP/UDP 989 poort voor de data sessie.
Een verwant van SFTP is SCP (Secure Copy). SCP kan worden gebruikt om bestanden tussen verschillende systemen op een veilige manier te kopiëren (RCP commando op Linux / Unix). SCP gebruikt ook SSH, standaard over TCP poort 22.
Bij het gebruik van een up-to-date pc met geschikte AV software en een verstandige gebruiker achter het toetsenbord is de kans behoorlijk klein op dit soort diefstallen tengevolge van een dergelijk infectie. Maarja, voorkomen is beter dan genezen..