Navigation principale


Bienvenu(e), invité(e)
Utilisateur:

Mot de passe:


Se souvenir

[ ]
[ ]
[ ]
 Membres vus aujourd´hui: 0
Actuellement connecté
 Membres: (0)
 Invité(e)s: (122)


Forums
<< Sujet précédent | Sujet suivant >>   
Problème de sécurité avec l'authenticator???

Auteur Message
Yøg
28 février 2010, 16:59
Membre enregistré #326
Inscrit(e) le: 09 juillet 2008, 23:08
Messages: 2500

Un problème vient d'être remonté sur les forums officiels US. Il s'agirait d'un programme qui permet de hacker votre compte même avec l'utilisation d'un authenticator. Tout n'est pas confirmé par Blizzard mais nous vous invitons à faire attention.


Hacké avec un Authentificator : (Traduction- Source)

Pour décrire les circonstances plus en détail :

Je n'ai touché à rien depuis que je l'ai enregistré la première fois dans la gestion de compte.

Il est impossible que cela vienne de mon entourage ou de mes contacts IRL. Je ne joue que depuis mon domicile, aucune autre personne n'a accès à mon ordinateur, l'authentificator n'a jamais été sorti de la pièce ou se trouve l'ordinateur. Tout spécialement pas ces derniers jours et semaines. Seuls mes proches ont accés à ma chambre et je doute honnêtement qu'ils sachent à quoi sert un authentificator.


Voila ce qui est arrivé :

J'étais en jeu, j'ai une erreur critique de violation d'accès à la mémoire. Je n'ai pas eu assez de bon sens avec ça, je n'y ai pas prêté une attention particulière.

J'ai essayé de me reconnecté, je met le bon mot de passe et le code de l'authentificator dans la page de connexion de WoW. J'obtiens le message "Informations erronées". J'essaye plusieurs fois.

Je vais sur la page de gestion de compte de WoW-europe, j'essaye de me connecter, j'obtiens un message disant que les nombres utilisés pour le code de l'authentificator ont été erronés à plusieurs reprises, et que mon authentificator est verrouillé pour le moment ou quelque chose du genre.

Je vais vérifier mon système, je découvre un DDL. suspicieux (emcor.dll si je me rappel bien, ESET NOD32 ne l'avaient pas trouvé, ni Spyware Doctor, je l'ai trouvé en utilisant Security Task Manager, il a été mi en quarantaine et supprimé, malheureusement je ne me suis pas embêté à chercher des infos à ce sujet, google n'apportant pas beaucoup de retours au premier coup d'oeil).

Je le supprime etc. etc. (cela m'a demandé 15 minutes environ).

Je me reconnecte (j'ai à utiliser l'authentificator, il n'avait pas été supprimé de mon compte), l'équipement avait disparu.

Je fais un report MJ, je me déconnecte, je vérifie mon système correctement.

Je vais sur la page de gestion de compte, je m'y connecte sans soucis (encore une fois en utilisant mon authentificator), je vérifie si l'authentificator était toujours assigné à mon compte (il l'était), j'ai changé le mot de passe du compte juste au cas où. Je n'ai pas touché à l'authentificator, je n'ai jamais enregistré son numéro de série nul-part en dehors de l'unique fois ou je l'ai enregistré sur mon compte il y a 2 ans.


Plus d'info sur le fichier .dll suspicieux:
Edit: emcor.dll avait été trouvé dans /users/username/appdata/Temp

Il crée une entrée de registre démarrant automatiquement (ou peut important comment ça s'appel). Je trouve intéressant que NOD32 ne trouve pas que cela soit un comportement suspicieux quand il démarre un fichier .dll depuis ce chemin de dossier...

Je n'ai pas prit de notes sur la suite (c'est ma faute, je n'avais pas de trucs ejectiondujeu et email des infos+wtf/config.wtf et autres dans les informations fournies par
Security Task Manager).

Alors oui, c'est un cas isolé de hacker qui a été très chanceux de hacker mon compte en temps réel (le code digital d'un authentificator change toutes les 30 secondes), ou alors ça a fini par commencer.

Emcor.dll, selon une des seules pages que j'ai trouvé dessus sur google a été vu pour la première fois aux alentours du 24 ou 25 Février 2010, donc c'est quelque chose de nouveau.

edit: Je ne sais pas où et comment j'ai choppé le fichier. Je ne prend pas trop de super mesures de sécurité supplémentaires, juste les habituelles (spyware, antivirus, pas de script toujours actif sous firefox).



[images désactivées]


Retour en haut
Yøg
01 mars 2010, 12:10
Membre enregistré #326
Inscrit(e) le: 09 juillet 2008, 23:08
Messages: 2500

Après analyse de la situation, Blizzard confirme d'ailleurs qu'il s'agit bien d'un key logger : After looking into this, it has been escalated, but it is a Man in the Middle attack. This is still perpetrated by key loggers, and no method is always 100% secure.

Le fichier maléfique se trouve être "emcor.dll" et se loge dans le répertoire "/users/***username***/appdata/Temp". Notez que cela ne remet pas en cause le fait que le Blizzard Authenticator reste le moyen le plus sûr, à l'heure actuelle, de sécurer un compte Battle.net. Par contre, n'oubliez jamais d'avoir un antivirus à jour et de respecter les règles élémentaires de sécurité.



[images désactivées]


Retour en haut
Nowwhat
01 mars 2010, 19:47
Membre enregistré #59
Inscrit(e) le: 20 octobre 2006, 14:11
Messages: 2918

Je vous propse un n-ième "sniffer" gratuit, vous pouvez le télécharger ici - lien direct ici.

 

C'est Malwarebytes-Anti-Malware Malwarebytes - il est pas mal - simple à l'utilisation et dispo en français. Il trouvera notre emcor.dll.

 

Pour ceux avec un Mac : va jouer dehors {#;)}



xxx
Retour en haut
Nowwhat
13 décembre 2010, 08:07
Membre enregistré #59
Inscrit(e) le: 20 octobre 2006, 14:11
Messages: 2918

Ce que j'ai reçu ce matin:

 

Hello,

Blizzard Entertainment recently received a request to change the e-mail address used to log in to the Battle.net account with the username Clique !. The e-mail address k***@hotmail.com has been specified as the new username for this Battle.net account. An email has been sent to this new address containing a verification link to complete the change.

Once the new address has been verified, the e-mail address Clique ! can no longer be used to log in to this Battle.net account or any World of Warcraft accounts merged with this Battle.net account.

If you did not initiate this request, please click here to contact the Blizzard Billing & Account Services team immediately.

Sincerely,
The Battle.net Account Team
Online Privacy Policy

MessageID bfudoyqjyl13gmdy5wlzzopq

 

 

Bien attendu, de la foutaise de a à z.

 

Faite-gaffe quand même. Le message mail est bien un faux - l'adresse de l'émetteur est correct - seul les liens dans le mail sont plus que rigolo.

Comme http://support.battle.wowaccout-confirm.net/account.htm



xxx
Retour en haut
Modérateurs:aihla, Minitonia, Nowwhat, Yøg, Dobromir, Agroma, Freijana, Yinløng, Espérãnce

Allez à:     Retour en haut


Fil d’informations pour ce sujet: RSS 0.92 Fil d’informations pour ce sujet: RSS 2.0 Fil d’informations pour ce sujet: RDF
.