-
03-08-2005, 01:45 #1
Warcraft password stealing TROJAN (sticky this please)
Discovered on: July 30, 2005
Last Updated on: August 01, 2005 10:36:08 AM
Van de site van Symantec.. so no bullshit
http://securityresponse.symantec.com....wowcraft.html
When PWSteal.Wowcraft is executed, it performs the following actions:
Copies itself as one of the following:
%ProgramFiles%\svhost32.exe
%ProgramFiles%\rundll32.exe
%ProgramFiles%\Internat.exe
Note: %ProgramFiles% is a variable that refers to the program files folder. By default, this is C:\Program Files.
Creates the following file:
%System%\msdll.dll
Note: %System% is a variable. The Trojan locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
Adds the value:
"load" = "[PATH TO DROPPED FILE]"
to the registry subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
so that the file runs every time Windows starts.
Injects msdll.dll into other running processes, including explorer.exe, so that it can monitor for passwords entered.
Attempts to initiate a keylogging process upon finding windows associated with "wow.exe", "Launcher.exe", "www.wowchina.com" or "signup.worldofwarcraft.com".
Emails the gathered online "World of Warcraft" passwords to the Trojan's author.
Attempts to disable processes or windows which contain the following strings, some of which may be security related:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
Ravmon.exe
Ravmond.exe
ZoneAlarm
Attempts to download and execute files from the Internet.-= PA =- [A WoW Guild]
Pandorian Alliance Forum PR General Managerno votes
-
-
03-08-2005, 02:39 #2Banned
- Registered
- 12/02/04
- Location
- San Andreas
- Posts
- 2,910
- iTrader
- 0
- Mentioned
- 0 Post(s)
- Reputation
- 0/0
als ge die trojan ebt is het uw eigen schuld tbh
no votes
-
03-08-2005, 03:28 #3Approved 9liver
- Registered
- 24/09/04
- Location
- Reet
- Posts
- 2,501
- iTrader
- 81 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 0/0
idd... da betekend da ge
1. of te wel op vieze sites zit (pr0n)
2. of te wel op warez sites zit
3. of te wel op sites waar ge ni moet op zijn!PSN: spritske_beno votes
-
03-08-2005, 04:00 #4Member
- Registered
- 12/12/02
- Location
- Gemeente
- Posts
- 6,034
- iTrader
- 15 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 23/111
Als ge een firewall hebt moet ge toch nooit schrik hebben voor Trojan's neem ik aan?
ik denk dat iedereen wel een firewall heeft deze tijden? (diegene die gene hebben aanstaan zijn imo niet zo slim
)
no votes
-
03-08-2005, 04:09 #5Approved 9-lifer
- Registered
- 23/07/02
- Location
- Turnhout
- Posts
- 4,074
- iTrader
- 28 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 1/8
Firewall + combinatie van goeie virusscanner is ok
no votes
-
03-08-2005, 04:18 #6
Firewall + virus = resource fretters
(kheb er al in jaren gene nmeer gebruikt)
leven mijn router met hardware firewall tochwel!Rip: 14 february 2006no votes
-
03-08-2005, 09:02 #7Member
- Registered
- 17/07/02
- Location
- Tervuren
- Posts
- 1,445
- iTrader
- 0
- Mentioned
- 0 Post(s)
- Reputation
- 0/0
in dit geval ben ik daar toch niet zo zeker van
de trojan gebruikt namelijk email om zijn werk te doen, en die poorten staan nu meestal wel open op een firewall
en om de trojan binnen te halen is idd u eigen schuld zoals hierboven gezegd wordt, dus dat wil zeggen dat die poorten ook open staan
het enige wat een beetje helpt is dan ook een virusscanner
firewall kan in sommige gevallen ook helpen, maar lang niet in alle gevallen hoorno votes
-
03-08-2005, 11:01 #8Member
- Registered
- 08/11/03
- Location
- Opglabbeek
- Posts
- 340
- iTrader
- 0
- Mentioned
- 0 Post(s)
- Reputation
- 0/0
Ook al gebruikt die email, iemand die een beetje voorzichtig is filtert zijn emails, zo komt de junk nooit binnen

Neem hierbij een goede virusscanner / spywarescanner en je zit wel goed denk ik
Greetzno votes
-
03-08-2005, 11:05 #9
Filtert Telenet dat al niet voor ons ?
no votes
-
03-08-2005, 11:13 #10Approved 9-lifer
- Registered
- 15/11/03
- Location
- 9lives
- Posts
- 1,667
- iTrader
- 0
- Mentioned
- 0 Post(s)
- Reputation
- 0/0
hmm pijs niet dat ge trojans voor WoW zult vinden op pr0n sites, maar erder op van de sites die beweren dat ze een of andere zotte WoW hack ofzo hebben
Only two things are infinite, the universe and human stupidity, and I'm not sure about the former.
-Albert Einstein-no votes
-
03-08-2005, 13:00 #11Banned
- Registered
- 14/01/05
- Posts
- 2,727
- iTrader
- 0
- Mentioned
- 0 Post(s)
no votes
-
03-08-2005, 15:38 #12
voor alle duidelijkheid en speculaties uit de weg te gaan : ik heb daar geen last van. Ik wou gewoon effe de rest van de community waarschuwen.
Heb hardwire firewall en een virusscanner heb je niet nodig als verstandige gebruiker :-D
Als je natuurlijk in een situatie zit waar je niet de enige gebruiker bent op die pc dan is het wel misschien een goed idee om die te installeren.-= PA =- [A WoW Guild]
Pandorian Alliance Forum PR General Managerno votes
-
03-08-2005, 15:40 #13Banned
- Registered
- 14/01/05
- Posts
- 2,727
- iTrader
- 0
- Mentioned
- 0 Post(s)
sure sure we believe you ...
no votes
-
03-08-2005, 16:00 #14
Een hardware firewall blokeert gewoon binnenkomend trafiek van buitenaf en niet andersom
Je kan dus 100 trojans hebben op uw pc, die router gaat dat gewoon beschouwen als normaal buitengaand internet-trafiek
Je kan wel die router finetunen, maar dat is op poort-niveau en niet op basis van content.
Het beste is om een software-firewall te hebben, waar je zelf bepaalt wie naar buiten mag en wie niet
Ik heb 3 jaar dezelfde pc gehad met Windows erop, Windows Update geregeld laten lopen en een gratis antivirus programma (http://www.avast.com)
nooit heb ik een trojan, spyware of virus gehad.
Je moet gewoon opletten wat je downloadt en wat je opent
PS: Antivirus-service van Telenet is de beste die ik kenpeople beta test a MS product every time they boot windows
Filorde on Dragonblight profileno votes
-
03-08-2005, 17:16 #15Banned
- Registered
- 14/01/05
- Posts
- 2,727
- iTrader
- 0
- Mentioned
- 0 Post(s)
no votes
