|
| Trojaner skjult i Web-reklamer Fra : Thomas Jespersen |
Dato : 24-09-06 17:51 |
|
Hej, jeg spiller online-rollespillet "World of Warcraft" ret meget. I den
senere tid er der kommet en del cracker-angreb på fansites til spillet. I
de fleste tilfælde (faktisk alle tilfælde jeg har hørt om) bliver der
skjult en trojan/keylogger i banner-reklamerne. Meningen er nu at crackerne
kan få min kontooplysninger til spillet og stjæle de ting og det guld jeg
har i spillet.
Hvad er den bedste måde jeg kan sikre mig mod disse trojaner? Jeg bruger
Firefox og det bliver der foreslået på diverse World of Warcraft forummer.
Men Firefox er jo ikke i sig selv ufejlbarlig. Så hvad skal jeg ellers gøre
for at det bliver mere sikkert at færdes på disse sites?
--
np: (Foobar 2000 is not active
| |
Kent Friis (24-09-2006)
| Kommentar Fra : Kent Friis |
Dato : 24-09-06 18:17 |
|
Den Sun, 24 Sep 2006 18:50:36 +0200 skrev Thomas Jespersen:
> Hej, jeg spiller online-rollespillet "World of Warcraft" ret meget. I den
> senere tid er der kommet en del cracker-angreb på fansites til spillet. I
> de fleste tilfælde (faktisk alle tilfælde jeg har hørt om) bliver der
> skjult en trojan/keylogger i banner-reklamerne. Meningen er nu at crackerne
> kan få min kontooplysninger til spillet og stjæle de ting og det guld jeg
> har i spillet.
>
> Hvad er den bedste måde jeg kan sikre mig mod disse trojaner? Jeg bruger
> Firefox og det bliver der foreslået på diverse World of Warcraft forummer.
> Men Firefox er jo ikke i sig selv ufejlbarlig. Så hvad skal jeg ellers gøre
> for at det bliver mere sikkert at færdes på disse sites?
Lade være med at køre som Administrator - eller hvis det ikke er en
mulighed, så sørge for at Firefox ikke kører som Administrator. Jo
mindre rettigheder Firefox har, jo mindre rettigheder vil et program
der angriber Firefox ende op med at få.
Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).
| |
Allan Olesen (24-09-2006)
| Kommentar Fra : Allan Olesen |
Dato : 24-09-06 23:56 |
|
Kent Friis wrote:
> Lade være med at køre som Administrator
I princippet må rådet i det aktuelle tilfælde være:
Lad være med at køre som Administrator eller som den bruger, du logger
på WoW med.
--
Allan Olesen
| |
Alex Holst (24-09-2006)
| Kommentar Fra : Alex Holst |
Dato : 24-09-06 22:42 |
|
Thomas Jespersen wrote:
> Hej, jeg spiller online-rollespillet "World of Warcraft" ret meget. I den
> senere tid er der kommet en del cracker-angreb på fansites til spillet. I
> de fleste tilfælde (faktisk alle tilfælde jeg har hørt om) bliver der
> skjult en trojan/keylogger i banner-reklamerne. Meningen er nu at crackerne
> kan få min kontooplysninger til spillet og stjæle de ting og det guld jeg
> har i spillet.
Har du flere detaljer om ovenstående? Hvordan skulle disse angreb finde sted?
Hvis korrupte images (eller shochwave film) kan misbruges til at udføre kode på
dit system, skal det naturligvis fixes.
Jeg har typisk hørt om situationer hvor brugeren lokkes til at downloade en
add-on, der viser sig ikke at være en add-on.
| |
Allan Olesen (24-09-2006)
| Kommentar Fra : Allan Olesen |
Dato : 24-09-06 23:53 |
|
Alex Holst wrote:
> Har du flere detaljer om ovenstående? Hvordan skulle disse angreb finde
> sted? Hvis korrupte images (eller shochwave film) kan misbruges til at
> udføre kode på dit system, skal det naturligvis fixes.
Har du været uden forbindelse til omverdenen den sidste uges tid?
Der er et upatchet hul i IE, som nu i flere dage har været udnyttet på
hundredevis af websites til at køre kode på de besøgendes computere.
Søg på "vml exploit" og "vml vulnerability".
Om den kan bruges i lige akkurat en bannerreklame, skal jeg dog ikke
kunne sige.
Microsoft planlægger et have en patch klar om godt et par uger...
Nej, MS er vistnok begyndt at tage hullet mere alvorligt nu, hvis man
skal tro de sidste 6 ord i dette citat fra
http://www.microsoft.com/technet/security/advisory/925568.mspx:
"Microsoft’s goal is to release the update on Tuesday, October 10, 2006,
or sooner depending on customer needs".
--
Allan Olesen
| |
Alex Holst (25-09-2006)
| Kommentar Fra : Alex Holst |
Dato : 25-09-06 02:51 |
|
Allan Olesen wrote:
> Alex Holst wrote:
>> Har du flere detaljer om ovenstående? Hvordan skulle disse angreb
>> finde sted? Hvis korrupte images (eller shochwave film) kan misbruges
>> til at udføre kode på dit system, skal det naturligvis fixes.
>
> Har du været uden forbindelse til omverdenen den sidste uges tid?
>
> Der er et upatchet hul i IE, som nu i flere dage har været udnyttet på
> hundredevis af websites til at køre kode på de besøgendes computere.
Jo, men nu skrev han jo, at han brugte Firefox, og jeg er ikke bekendt med at
Firefox skulle være udsat for noget tilsvarende i skrivende stund.
| |
Allan Olesen (25-09-2006)
| Kommentar Fra : Allan Olesen |
Dato : 25-09-06 06:14 |
|
Alex Holst wrote:
> Jo, men nu skrev han jo, at han brugte Firefox, og jeg er ikke bekendt
> med at Firefox skulle være udsat for noget tilsvarende i skrivende stund.
Han skrev, at han brugte Firefox, underforstået: For at beskytte sig mod
det omtalte angreb mod IE.
--
Allan Olesen
| |
Peter Kruse (26-09-2006)
| Kommentar Fra : Peter Kruse |
Dato : 26-09-06 18:22 |
|
"Allan Olesen" <usenet.02.2006.allan@spamcheck.dk> skrev i en meddelelse
news:45176594$0$169$edfadb0f@dread11.news.tele.dk...
> Alex Holst wrote:
Hej,
>> Jo, men nu skrev han jo, at han brugte Firefox, og jeg er ikke bekendt
>> med at Firefox skulle være udsat for noget tilsvarende i skrivende stund.
Firefox og Opera behandler ikke VML på samme måde som IE, ja faktisk slet
ikke, så sårbarheden kan ikke udnyttes igennem dem.
> Han skrev, at han brugte Firefox, underforstået: For at beskytte sig mod
> det omtalte angreb mod IE.
Det ville nu være rart med et link til det pågældende script der leveres med
det banner. Hvordan ved man at der er tale om en keylogger før scriptet er
afviklet og koden blevet droppet? Jeg vil gerne se et link eller kode stump
(whatever), da denne vektor naturligvis skal lukkes hvis det reelt er et
problem.
Venligst
Peter Kruse
| |
N_B_DK (26-09-2006)
| Kommentar Fra : N_B_DK |
Dato : 26-09-06 19:22 |
|
Allan Olesen wrote:
> Han skrev, at han brugte Firefox, underforstået: For at beskytte sig
> mod det omtalte angreb mod IE.
Sikke da noget sludder, jeg har nu brugt FF i 1.5år ca, og ganske enkelt
fordi den meget bedre lever op til de ønsker og krav jeg har en browser, og
det omtalte angreb var såvidt jeg ved ikke kendt for 1.5 år siden
--
MVH.
N_B_DK
Købes display print til en Panasonic NV-HS1000
| |
Allan Olesen (26-09-2006)
| Kommentar Fra : Allan Olesen |
Dato : 26-09-06 23:12 |
|
N_B_DK wrote:
> Sikke da noget sludder, jeg har nu brugt FF i 1.5år ca, og ganske enkelt
> fordi den meget bedre lever op til de ønsker og krav jeg har en browser, og
> det omtalte angreb var såvidt jeg ved ikke kendt for 1.5 år siden
Er du Thomas Jespersen (den person, der startede tråden)?
Hvis du er, vil jeg anbefale dig at skrive under samme navn hver gang,
da det ellers bliver for forvirrende.
Hvis du ikke er, forstår jeg ikke lige, hvad dine bevæggrunde for at
bruge FireFox har at gøre med diskussionen.
--
Allan Olesen
| |
N_B_DK (27-09-2006)
| Kommentar Fra : N_B_DK |
Dato : 27-09-06 04:02 |
|
Allan Olesen wrote:
> Er du Thomas Jespersen (den person, der startede tråden)?
Nej det er jeg ikke.
> Hvis du ikke er, forstår jeg ikke lige, hvad dine bevæggrunde for at
> bruge FireFox har at gøre med diskussionen.
Det var såmænd for at du skulle se at det ikke er underforstået hvorfor folk
benytter FF...
--
MVH.
N_B_DK
Købes display print til en Panasonic NV-HS1000
| |
Allan Olesen (27-09-2006)
| Kommentar Fra : Allan Olesen |
Dato : 27-09-06 17:26 |
|
N_B_DK wrote:
> Det var såmænd for at du skulle se at det ikke er underforstået hvorfor folk
> benytter FF...
Beklager, men jeg fatter ikke, hvad du taler om. Mener du, at jeg har
generaliseret på alle Firefox-brugeres vegne, eller er der noget andet,
der trykker dig?
--
Allan Olesen
| |
N_B_DK (28-09-2006)
| Kommentar Fra : N_B_DK |
Dato : 28-09-06 06:36 |
|
Allan Olesen wrote:
> Alex Holst wrote:
>> Jo, men nu skrev han jo, at han brugte Firefox, og jeg er ikke
>> bekendt med at Firefox skulle være udsat for noget tilsvarende i
>> skrivende stund.
>
> Han skrev, at han brugte Firefox, underforstået: For at beskytte sig
> mod det omtalte angreb mod IE.
Hvordan kan det være underforstået ?
--
MVH.
N_B_DK
Købes display print til en Panasonic NV-HS1000
| |
Jesper Thoestesen (28-09-2006)
| Kommentar Fra : Jesper Thoestesen |
Dato : 28-09-06 08:59 |
|
N_B_DK <N_B_DKSPAM@hotmail.com> wrote:
>> Han skrev, at han brugte Firefox, underforst?et: For at beskytte sig
>> mod det omtalte angreb mod IE.
>
> Hvordan kan det v?re underforst?et ?
"Hvad er den bedste m?de jeg kan sikre mig mod disse trojaner? Jeg bruger
Firefox og det bliver der foresl?et p? diverse World of Warcraft forummer.
Men Firefox er jo ikke i sig selv ufejlbarlig."
- S?dan!
--
Th?
| |
Bertel Lund Hansen (28-09-2006)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 28-09-06 09:58 |
| | |
N_B_DK (28-09-2006)
| Kommentar Fra : N_B_DK |
Dato : 28-09-06 11:46 |
|
Bertel Lund Hansen wrote:
> N_B_DK skrev:
>
>> Hvordan kan det være underforstået ?
>
> Det kan det for dem der kan læse mellem linjerne. Men det er ikke
> alle beskåret at kunne det.
Du er så skide klog at du kunne undvære hovedet, fuck hvor er du dog altid
bedrevidende, det er sq til at brække sig over! (du alene har altid ret ikke
Bertel ? )
--
MVH.
N_B_DK
Købes display print til en Panasonic NV-HS1000
| |
Martin Clemmensen (25-09-2006)
| Kommentar Fra : Martin Clemmensen |
Dato : 25-09-06 00:50 |
|
Alex Holst wrote:
> Har du flere detaljer om ovenstående? Hvordan skulle disse angreb finde
> sted? Hvis korrupte images (eller shochwave film) kan misbruges til at
> udføre kode på dit system, skal det naturligvis fixes.
Fik et link til en af disse sites den anden dag, wowljm. 44 . 72sky .com
(fjern selv mellemrum hvis du vil besøge siden).
Ved ikke hvilket exploit siden bruger, det er noget vbscript halløj der
prøver at eksekvere filen 1.exe fra rodmappen på samme server. Hentede
filen manuelt og prøvede at køre den i wine for at se om jeg kunne finde
ud af lidt mere, men den kører ikke i wine ;)
> Jeg har typisk hørt om situationer hvor brugeren lokkes til at downloade
> en add-on, der viser sig ikke at være en add-on.
Jep, det sker ret ofte i Worlf of Warcraft sammenhænge. Sider reklamerer
med snyd til programmet, videoer af nyt indhold osv, som så viser sig at
være keyloggers.
--
Martin
| |
John Hinge (25-09-2006)
| Kommentar Fra : John Hinge |
Dato : 25-09-06 10:02 |
|
On 25 sep 2006 Martin Clemmensen was heard to say:
> Alex Holst wrote:
>> Jeg har typisk hørt om situationer hvor brugeren lokkes til at
>> downloade en add-on, der viser sig ikke at være en add-on.
>
> Jep, det sker ret ofte i Worlf of Warcraft sammenhænge. Sider
> reklamerer med snyd til programmet, videoer af nyt indhold osv,
> som så viser sig at være keyloggers.
>
I det aktuelle tilfælde har det også ramt mere, hvad skal man sige,
almene, WoW sider. f.eks worldofwar.net en side som i høj grad
anvendes for deres fine kort over spillets områder og ganske mange
lovlige addons til spillet.
Men det er som sagt angreb via reklamesystemet, så det er ikke
folkene bag worldofwar.net selv der er skurkene andet end de har
taget imod penge for at vise noget indhold som så har vist sig
at være noget andet end der forventedes.
Der er selvfølgelig dem som vil sige at så ku de, f.eks worldofwar.net
jo bare lade være med at ha reklamer, men så ku siden jo ikke løbe
rundt. De store World of Warcraft sider har rigtig rigtig mange
besøgende med tung trafik.
Personligt ser jeg ikke disse trojanere, bland andet fordi jeg
anvender Firefox, og angrebene, ihvertfald indtil nu, har været
rettet imod fejl/svagheder i Internet Explorer
--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"You're basing your Pixie Faerie on Vin Diesel ? I'll say it again..
Are you on Drugs ?" Gordo - The Black Hand - KotDT #79
| |
Kasper Lindberg (30-09-2006)
| Kommentar Fra : Kasper Lindberg |
Dato : 30-09-06 17:11 |
|
"Thomas Jespersen" <jespersen.thomas@gmail.com> skrev i en meddelelse
news:asxn8atqavdt.1afppqk4sjg7k$.dlg@40tude.net...
> Hej, jeg spiller online-rollespillet "World of Warcraft" ret meget. I den
> senere tid er der kommet en del cracker-angreb på fansites til spillet. I
> de fleste tilfælde (faktisk alle tilfælde jeg har hørt om) bliver der
> skjult en trojan/keylogger i banner-reklamerne. Meningen er nu at
> crackerne
> kan få min kontooplysninger til spillet og stjæle de ting og det guld jeg
> har i spillet.
>
> Hvad er den bedste måde jeg kan sikre mig mod disse trojaner? Jeg bruger
> Firefox og det bliver der foreslået på diverse World of Warcraft forummer.
> Men Firefox er jo ikke i sig selv ufejlbarlig. Så hvad skal jeg ellers
> gøre
> for at det bliver mere sikkert at færdes på disse sites?
>
så vidt jeg har forstået så er koden skrevet i vbscript, som firefox ikke
understøtter, men ellers vil jeg anbefale firefox-extensions så som
Noscript:
https://addons.mozilla.org/firefox/722/
Adblock:
https://addons.mozilla.org/firefox/10/
Adblock Plus
https://addons.mozilla.org/firefox/1865/
/Kasper
| |
|
|