Troyano para cuentas del WoW

B

[Borrado] #1 Abr '08

Bueno despues de informarme acerca del troyano que tenia en el pc antes de formatear por mi robo de cuenta he sacado screen

http://img528.imageshack.us/my.php?image=aadfzn1.jpg

This Trojan program is designed to steal user passwords to accounts on WoW servers. The Trojan itself is a Windows PE EXE file, written in Delphi and packed using NsPack. The packed file is 136069 bytes in size, and the unpaced file is approximately 316KB in size.

Uso el antivirus Kaspersky y formatee antes de ayer, y vuelve a estar, además también utilizo el Spybot Search And Destroy para mas seguridad.

Ultimamente estan robando muchas cuentas asi que mi consejo es que metais la pw con cntrl+c y cntrl+v para mayor seguridad.

Espero haberos servido de ayuda.

pd. http://www.viruslist.com/en/viruses/encyclopedia?virusid=130036

si alguien entiende ingles y lo puede traducir se lo agradeceria

BennyHill #2 Abr '08

y como te lo colaron?

B

[Borrado] #3 Abr '08

no tengo ni idea, si llevo sin jugar desde el jueves porque esta congelada por el robo y formatee y tal y ahora que paso el antivirus como siempre por la noche veo esto.

He oido que es el quest helper pero lo dudo mucho, ni idea.

GaMuSSo #4 Abr '08

Ultimamente estan robando muchas cuentas asi que mi consejo es que metais la pw con cntrl+c y cntrl+v para mayor seguridad.

Doc! rápido al delorean.

Compañera, de toda la puta vida de dios del wow han robado cuentas a mansalva, una cosa esque coincidan varias personas cercanas a ti.

El consejo está bien, no sé si tienes el karspersky con escaneo en tiempo real, pero si no es así, vale tienes herramientas de limpieza, pero así no evitas que se ensucie.

Hay 2 principales vías, los adictos a los .EXE que se preguntan porque siempre son ellos los que pillan virus. Y los que navegan sin Firefox+NoScript.

#6 Me refería a la parte que presenta tal suceso como novedad. Yo también uso ctrl+c ctrl+v, pero sinceramente, el código para acceder al el Portapapeles de windows es público y documentado. Qué si, que es cierto que para cualquier mierdecilla que puedas pillar por internet es válido, pero yo no me jugaría la cuenta

#7 Aparte de la barra de google duplicada ya que viene integrada en el navegador, y los Bookmarks importados de Microsoft Internet Explorer no veo por ningun lado el noscript. google > addons > NoScript. Previene la ejecución de JavaScript por defecto.

Ejemplo: tu pagina del clan tecepillolacuenta.com, en el listado de fuentes de JavaScript aparecerá 'tecepillolacuenta.com', pero un dia llega un puto chino y te inyecta en el codigo un keylogger. El NoScript mostrará un nuevo elemento bloqueado porque proviene de la página 'putoschinos.ch'.

No te enfades muchacha, estoy colaborando.

BennyHill #5 Abr '08

Por casualidad usas algun "actualizador de addons" marca ACME ?

B

[Borrado] #6 Abr '08

#4 tu sabes que si pones la macro del control no te dectan mas que una v? vamos digo yo que eso ayude un poco, pero que si quieres ir de pro tu mismo. No es solo gente de mi city, también a varios amigos de peña de mi clan.

#5 los addons me los bajo de curse game o como se llame ahora

B

[Borrado] #7 Abr '08

No soy una experta pero no suelo coger.exe a no ser que sea necesario y le paso el antivirus antes de abrirlo, lo del firefox mira bien la screen a ver con que navego, lo del antivirus a tiempo real no se si lo tendre si me lo puedes decir pues mejor.

Edit. lo del antivus puesto. xD

_

_-SHeiK-_ #8 Abr '08

Yo uso un script que me abre el WoW y me loguea con mi main, así no tengo problemas xD

Fyn4r #9 Abr '08 Inocente

#8 cuenta cuenta xD

#1 tienes el mismo "estilo" de MV que yo! xDDDD

GaMuSSo #10 Abr '08

/\
||
Eso si que es cojonudo, en cuanto recupere el PC lo miraré.

(Quien lo diría, en casi 4 años no pilló un virus, pero tenerlo 24/7 encendido sin excepción, junto con la estabilidad eléctrica de BCN el pasado verano, fueron demasiado para mi placa base)

Urien #11 Abr '08 Gatillazo

#8 yo tambien, creado en C y en VB .NET además un dia ke me aburria.

Lo ke hace es abrir el wow (proceso run en cualquier lenguaje) y luego teclear con eventos keypress & keyup la pass, hace unos dias lo actualicé para que cogiera la pw de un fichero pero me fio mas bien poquito (evidentemente tampcoo se llama "PASS WOW.txt").

PD: Ademas para que rule tengo que desactivar el firewall por usar eventos de teclado automaticos xD

F

feljuter #13 Abr '08

probablemente el virus/troyano este en el MBR del disco duro, lo cual un antivirus no puede borrar, la única solución posible es darle formato en modo NFTS lento.

creo yo eh.

_

_-SHeiK-_ #14 Abr '08

Como mi programa es personalizado, y nadie iba a aceptar un exe, os pongo el código para AutoIt3.

WinActivate("World of Warcraft")
HotKeySet("{PAUSE}", "EndScript")


If FileExists("C:\Juegos\World of Warcraft\WoW.exe") Then
Run("C:\Juegos\World of Warcraft\WoW.exe")

Sleep(20000)

send("USERNAME")
send("{TAB}")
send("PASSWORD")
send("{ENTER}")

Sleep(3000)

MouseClick("left", 1050, 150, 1, 2)
send("{ENTER}")

Else
Exit
Endif

; Function to exit script
Func EndScript()
  $exit = MsgBox(4, "WoW Log In", "End login script?")
  If $exit = 6 Then
    Exit
  EndIf
EndFunc

El AutoIt es un programa externo al que se le pueden meter códigos para que realice ciertas acciones (guiño, guiño). Os lo podéis bajar de aquí.

Para hacerlo funcionar: creáis un .txt, pegáis el código, cambiáis el formato del archivo a .au3. Sustituis la ruta del ejecutable del WoW por la vuestra, y lo mismo con el USERNAME y PASSWORD.

F

feljuter #15 Abr '08

¿Para qué sirve el comando sleep Sheik?

_

_-SHeiK-_ #16 Abr '08

Es el equivalente a un wait. Simplemente espera los milisegundos que le pongas hasta pasar a la siguiente acción.

En el primer sleep están 20 segundos porque es lo que me tardaba en abrir el wow xDDD, la verdad es que el script es un poco mierda, pero mejor que nada...

BennyHill #17 Abr '08

Guiño, guiño XD

No has pensado que al escribir el autoit es lo mismo que si escribieras tu a mano?

F

feljuter #18 Abr '08

Cawenlaputa que grande eres sheik xd, voy a testear el script ara mismo.

_

_-SHeiK-_ #19 Abr '08

#17, sí. Y hacer clicks es como si lo hiciese yo, y ...

xD

Por si a alguien le interesa saberlo, como no accede a la memoria del juego, el warden no dice ni pío.

#20, el .txt del final sobra. Y has copiado también los números de delante de cada línea?

goliat17 #20 Abr '08

sheik ami me da error la cosa esa

line 2 ( file "dondelotengo.au3.txt"):

winactivate("World of warcraft")

^error

error: unable to parse line >.<

T

Toran #21 Abr '08

Seguramente, esas fotos que andan por wow-europe, que las pone un guiri casi siempre le distes abrir la imagen y zas adios acc

Lova #22 Abr '08

lo jodido q el autoit no rula en windowed y no puede star on, mientras tas furulando por windows hubiera sido un buen sustituto del antiafk moahaha

Puni #23 Abr '08

#14 que guay, no tenia ni zorra idea de ese programa pero creo q ya se hacer un script q deletee chars yipiiii

B

[Borrado] #24 Abr '08

pues ya lo mirare cuando me devuelvan la cuenta a ver si rula, y a ver si es pronto xq van 6 dias y no se ni k acer xD

Imperium #25 Abr '08

Prueba Avira AntiVir que creo que este antivirus lo quita, bajate la version gratuita.

boselecta #26 Abr '08 :psyduck:

mysty eso te pasa por manca, que lo sepas

B

[Borrado] #27 Abr '08

#20 tu fallo es que la extensión es .au3 solo

para corregirlo pega de nuevo en el bloc de notas el texto y a continuación, cuando hagas el guardar como, hazlo así:

otra solución es ir a Mi PC -> Herramientas -> Opciones de carpeta... y desmarcar la casilla que te pongo, cuando la desmarques, quita el último .txt para que termine siendo loquesea.au3

suerte

goliat17 #28 Abr '08

sigue dandome error lo unico q e conseguido es q sea un acceso directo y no tengo q andar abriendo el programa y diciendole q use el txt xDDD error el mismo >.<

B

[Borrado] #29 Abr '08

#5: Los actualizadores de Addons tipo Wow UI Updater o Wow Ace Updater tienen algún peligro? No me acojoneis, coño.

_

_-SHeiK-_ #30 Abr '08

El WAU no lo tiene.

Usuarios habituales