Vorsicht: Wurm klaut CD-Keys!
Für alle Online-Gamer ist äußerste Vorsicht geboten, denn es ist ein Wurm aufgetaucht, mit dem es möglich ist CD-Keys aktueller Spiele auszulesen. Symantec hat hierzu schon eine Meldung herausgegeben. Wenn ihr euch also wundert weshalb der CD-Key bereits benutzt wird, könnte es am W32.Spybot.CYM liegen.
Gruß Tomes
PS: Da war mal eine heiße debatte bei einem Spiel wo ich damals schon sowas andeutete aber was da alles erzählt wurde hmmmm AP (welch eine Ironie)
!-Vorsicht-!
-
GFM Sterna
- Oberst (Moderator)
- Beiträge: 1040
- Registriert: 22.03.2004, 01:39
- Wohnort: Oman
Moin GFM Sterna
Das ist das was ich genau jetzt weiß:
Das Besondere an diesem Wurm ist, dass er speziell darauf ausgelegt ist, die CD-Keys bekannter Spiele auszulesen. Eine Liste der Games finden Sie weiter unten.
Dieser Wurm verfügt über einen Netzwerkmonitor, ein DoS-Attack-Modul, einen Keylogger und verschiedene andere Payloads. Besondere Vorsicht ist geboten, da der Wurm sich nicht zu erkennen gibt und der User erst merkt das er infiziert ist, wenn ihm ein CD-Key abhanden gekommen ist.
Der Wurm nutzt zu seiner Verbreitung die Sicherheitslücken von Windows im Bereich des RPC DCOM. Symantec führt den Wurm unter der Kategorie Spybot und der Bezeichnung W32.Spybot.DNB. Der Wurm öffnet eine Backdor zum infizierten System und baut eine Verbindung zu einem IRC Channel in der Domain latina.a.la über TCP 6667 auf. Angreifer können das befallene System über das IRC-Netzwerk fernsteuern und so Dateien downloaden und ausführen, das lokale Netzwerk scannen, DoS-Attacken starten, Systeminformationen auslesen, Ports umleiten und Socks 4 und 5 Proxys starten.
Gefährdet sind alle Windows Betriebssysteme ab Windows 95 bis Windows XP.
Der Wurm ist noch nicht sehr weit verbreitet und im Moment hält sich die Ausbreitungsgeschwindigkeit noch in Grenzen.
Bringen Sie zum Schutz Ihrer Keys Ihre Antiviren Software auf den neusten Stand und/oder laden Sie sich ggf. Antiviren Programme wie AntiVir herunter oder birngen diese auf den neusten Stand und lassen Ihr System überprüfen.
Befallene Systeme haben im Systemverzeichnis (z.B. bei Win2000 "C:/Winnt/System32/", bei WinXP "C:/Windows/System32/") die Datei "HPPrint.exe" und in der Registry findet sich der Eintrag
"Win USB 2.0 USB Driver" = "HPPrint.exe"
in folgenden Registryschlüsseln:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ RunServices
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/ Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/ RunServices
Der Wurm wird dadurch bei jedem Systemstart ausgeführt.
Zusätzlich erzeugt er folgende Registrykeys:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/ENUM/ROOT/ LEGACY_KINGSTON
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Kingston
Der Wurm versucht folgende CD-Keys auszulesen:
Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Legends of Might and Magic
Soldiers Of Anarchy
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlfield Vietnam
Black and White
James Bond 007: Nightfire
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Command and Conquer: Generals
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
NOX
Chrome
Hidden & Dangerous 2
Soldier of Fortune II - Double Helix
Neverwinter Nights
Neverwinter Nights (Shadows of Undrentide)
Neverwinter Nights (Hordes of the Underdark)
Der Wurm kann aber auch ID's bekannter Programme ausspionieren wie z.B.:
AOL Instant Messenger (AIM)
Microsoft Messenger Service (MSN)
Microsoft Windows Product ID
Yahoo Messenger
Gruß Tomes
PS: Hoffe mal das hilft dir ihn zu beseitigen !
Das ist das was ich genau jetzt weiß:
Das Besondere an diesem Wurm ist, dass er speziell darauf ausgelegt ist, die CD-Keys bekannter Spiele auszulesen. Eine Liste der Games finden Sie weiter unten.
Dieser Wurm verfügt über einen Netzwerkmonitor, ein DoS-Attack-Modul, einen Keylogger und verschiedene andere Payloads. Besondere Vorsicht ist geboten, da der Wurm sich nicht zu erkennen gibt und der User erst merkt das er infiziert ist, wenn ihm ein CD-Key abhanden gekommen ist.
Der Wurm nutzt zu seiner Verbreitung die Sicherheitslücken von Windows im Bereich des RPC DCOM. Symantec führt den Wurm unter der Kategorie Spybot und der Bezeichnung W32.Spybot.DNB. Der Wurm öffnet eine Backdor zum infizierten System und baut eine Verbindung zu einem IRC Channel in der Domain latina.a.la über TCP 6667 auf. Angreifer können das befallene System über das IRC-Netzwerk fernsteuern und so Dateien downloaden und ausführen, das lokale Netzwerk scannen, DoS-Attacken starten, Systeminformationen auslesen, Ports umleiten und Socks 4 und 5 Proxys starten.
Gefährdet sind alle Windows Betriebssysteme ab Windows 95 bis Windows XP.
Der Wurm ist noch nicht sehr weit verbreitet und im Moment hält sich die Ausbreitungsgeschwindigkeit noch in Grenzen.
Bringen Sie zum Schutz Ihrer Keys Ihre Antiviren Software auf den neusten Stand und/oder laden Sie sich ggf. Antiviren Programme wie AntiVir herunter oder birngen diese auf den neusten Stand und lassen Ihr System überprüfen.
Befallene Systeme haben im Systemverzeichnis (z.B. bei Win2000 "C:/Winnt/System32/", bei WinXP "C:/Windows/System32/") die Datei "HPPrint.exe" und in der Registry findet sich der Eintrag
"Win USB 2.0 USB Driver" = "HPPrint.exe"
in folgenden Registryschlüsseln:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ RunServices
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/ RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/ Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/ RunServices
Der Wurm wird dadurch bei jedem Systemstart ausgeführt.
Zusätzlich erzeugt er folgende Registrykeys:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/ENUM/ROOT/ LEGACY_KINGSTON
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Kingston
Der Wurm versucht folgende CD-Keys auszulesen:
Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Legends of Might and Magic
Soldiers Of Anarchy
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlfield Vietnam
Black and White
James Bond 007: Nightfire
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Command and Conquer: Generals
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
NOX
Chrome
Hidden & Dangerous 2
Soldier of Fortune II - Double Helix
Neverwinter Nights
Neverwinter Nights (Shadows of Undrentide)
Neverwinter Nights (Hordes of the Underdark)
Der Wurm kann aber auch ID's bekannter Programme ausspionieren wie z.B.:
AOL Instant Messenger (AIM)
Microsoft Messenger Service (MSN)
Microsoft Windows Product ID
Yahoo Messenger
Gruß Tomes
PS: Hoffe mal das hilft dir ihn zu beseitigen !