News 12.04.2010, 10:01 Uhr

In Gefahr: World-of-Warcraft-Spieler

Einige Spieler von World of Warcraft (WoW) sehen sich derzeit mit einer besonderen «Quest» konfrontiert. Sie werden mit ausgefeilten Spam- und Phishing-Kampagnen eingedeckt.
Gemäss Sicherheitsexperte BitDefender werden die User via Mail aufgefordert, über einen Link ihre Daten anzugeben. Die entsprechenden Spam-Mails tragen den Betreff-Titel «Mounts Application Trial». Auf World-of-Warcraft-Kenner wirkt «Mounts» wie ein Signalwort. Denn laut Spielebeschreibung handelt es sich dabei um spezielle Reittiere, die der Spieler käuflich erwerben kann, um sich in der Onlinewelt schneller fortbewegen zu können. Die Spam-Mail offeriert per Antrag den freien Erwerb eines solchen virtuellen Reittieres – ein verlockender Köder also.
Um den Antrag zu stellen, müsse der User lediglich alle Fragen beantworten, die ihm nach Betätigung des enthaltenen Links gestellt werden. Der Link führt allerdings zu einer perfekt gefälschten Webseite. Unvorsichtige User loggen sich wie gewohnt ein und beantworten, ohne die Gefahr dahinter zu ahnen, alle Fragen (E-Mail-Adresse, Passwort, geheime Frage bei Vergessen des Passworts etc.), die angeblich zur Aktualisierung des Accounts notwendig sind. Wer sich hier einloggt und damit seine persönlichen Daten preis gibt, übermittelt die Informationen geradewegs den Kriminellen. Hat er dies getan, bestätigt ihm die gefälschte Website sogar, dass der von ihm gestellte Antrag erfolgreich war. Statt eines neuen «Mounts» aber bekommt der WoW-Spieler einen neuen Trojaner «geschenkt».
BitDefender beschreibt, wie die Malware vorgeht: Zunächst erstellt sie mehrere autorun.inf-Dateien, die den Schädling bei jedem Systemneustart aktivieren. Anschliessend wählt sie einen temporären Ordner auf dem befallenen PC, um dort mehrere Kopien von sich anzufertigen. Zudem erstellt der Trojaner eine .dll-Datei. Diese injiziert sich in den Speicherbereich des Explorer.exe-Prozesses. Sodann veranlasst sie den Diebstahl von Passwörtern verschiedener Onlinespiele. Nach dem Systemstart ist die Kopie des Trojaners durch einen neuen Registry-Eintrag unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run erkennbar. Das Original des Trojaners hingegen zerstört sich selbst und hinterlässt keine weiteren Spuren seiner Existenz.
Die extreme Popularität des Onlinerollenspiels mit mehreren Millionen Usern weckt die Aufmerksamkeit von Spammern und Phishern nicht zum ersten Mal.



Kommentare
Es sind keine Kommentare vorhanden.