ALERTE - Ninjatage de compte!

Greetings! This is an automated notification regarding the recent change(s) made to your World of Warcraft account. Your password has recently been modified through the Password Recovery website. *** If you made this password change, please disregard this notification. However, if you did NOT make changes to your password we recommend you Login verify your password: http://www.worldofwarcraft.com If you are unable to successfully verify your password . using the automated system, please contact Billing & Account Services at 1-800-59-BLIZZARD (1-800-592-5499) Mon-Fri, 8am-8pm Pacific Time or at billing@blizzard.com. Account security is solely the responsibility of the account holder. Please be advised that in the event of a compromised account, Blizzard representatives typically must lock the account. In these cases the Account Administration team will require faxed receipt of ID materials before releasing the account for play. Regards, The World of Warcraft Support Team Blizzard Entertainment

___________________________________________________________


Si vous recevez ce méssage par email avec "World of Warcraft - Account Instructions" en sujet, la seule chose à faire c'est d'éffacer le méssage, tout simplement.

Ceci est une tentative de vous faire paniquer, suivre les instructions (si vous vous débrouillez en anglais) et entrer votre mdp pour que le pirate puisse récupérer votre mdp dans le but vous ninja votre compte.

N'oubliez pas que Blizzard ne vous demandera JAMAIS votre mdp.

J'en profite pour faire passer ce post.
Même avec un authenticator il faut faire attention (bien que celui-ci vous protège très bien, c'est le premier problème remonté depuis que ce système a été mis en place).

Pour décrire les circonstances plus en détail :

Je
n'ai touché à rien depuis que je l'ai enregistré la première fois dans
la gestion de compte.

Il est impossible que cela vienne de mon
entourage ou de mes contacts IRL. Je ne joue que depuis mon domicile,
aucune autre personne n'a accès à mon ordinateur, l'authentificator n'a
jamais été sorti de la pièce ou se trouve l'ordinateur. Tout
spécialement pas ces derniers jours et semaines. Seuls mes proches ont
accés à ma chambre et je doute honnêtement qu'ils sachent à quoi sert un
authentificator.


Voila ce qui est arrivé :

J'étais
en jeu, j'ai une erreur critique de violation d'accès à la mémoire. Je
n'ai pas eu assez de bon sens avec ça, je n'y ai pas prêté une attention
particulière.

J'ai essayé de me reconnecté, je met le bon mot
de passe et le code de l'authentificator dans la page de connexion de
WoW. J'obtiens le message "Informations erronées". J'essaye plusieurs
fois.

Je vais sur la page de gestion de compte de WoW-europe,
j'essaye de me connecter, j'obtiens un message disant que les nombres
utilisés pour le code de l'authentificator ont été erronés à plusieurs
reprises, et que mon authentificator est verrouillé pour le moment ou
quelque chose du genre.

Je vais vérifier mon système, je
découvre un DDL. suspicieux (emcor.dll si je me rappel bien, ESET NOD32
ne l'avaient pas trouvé, ni Spyware Doctor, je l'ai trouvé en utilisant
Security Task Manager, il a été mi en quarantaine et supprimé,
malheureusement je ne me suis pas embêté à chercher des infos à ce
sujet, google n'apportant pas beaucoup de retours au premier coup
d'oeil).

Je le supprime etc. etc. (cela m'a demandé 15 minutes
environ).

Je me reconnecte (j'ai à utiliser l'authentificator,
il n'avait pas été supprimé de mon compte), l'équipement avait disparu.

Je fais un report MJ, je me déconnecte, je vérifie mon système
correctement.

Je vais sur la page de gestion de compte, je m'y
connecte sans soucis (encore une fois en utilisant mon authentificator),
je vérifie si l'authentificator était toujours assigné à mon compte (il
l'était), j'ai changé le mot de passe du compte juste au cas où. Je
n'ai pas touché à l'authentificator, je n'ai jamais enregistré son
numéro de série nul-part en dehors de l'unique fois ou je l'ai
enregistré sur mon compte il y a 2 ans.


Plus d'info sur le fichier .dll suspicieux:
Edit:
emcor.dll avait été trouvé dans /users/username/appdata/Temp

Il
crée une entrée de registre démarrant automatiquement (ou peut
important comment ça s'appel). Je trouve intéressant que NOD32 ne trouve
pas que cela soit un comportement suspicieux quand il démarre un
fichier .dll depuis ce chemin de dossier...

Je n'ai pas prit de
notes sur la suite (c'est ma faute, je n'avais pas de trucs
ejectiondujeu et email des infos+wtf/config.wtf et autres dans les
informations fournies par Security Task Manager).


Alors oui, c'est un cas isolé de hacker qui a été très chanceux de
hacker mon compte en temps réel (le code digital d'un authentificator
change toutes les 30 secondes), ou alors ça a fini par commencer.

Emcor.dll,
selon une des seules pages que j'ai trouvé dessus sur google a été vu
pour la première fois aux alentours du 24 ou 25 Février 2010, donc c'est
quelque chose de nouveau.

edit: Je ne sais pas où et comment
j'ai choppé le fichier. Je ne prend pas trop de super mesures de
sécurité supplémentaires, juste les habituelles (spyware, antivirus,
pas de script toujours actif sous firefox).

Pour savoir si vous êtes infecté, il suffit de faire une recherche sur TOUS vos disques durs du fichier "emcor.dll".
S'il y est, supprimez-le mais il y a de grandes chances que vous soyez déjà compromis ...

Si j'ai bien compris, un soft malicieux (emcor.dll, à ne pas confondre avec wbemcor.dll) se branche entre votre WoW et le serveur d'authentification, capte le code de votre authenticator, fait planter votre WoW (par exemple par une "Memory Access Violation Critical Error") et se connecte à votre place.

C'est juste une preuve que la sécurité à 100% n'existe pas, car il faut toujours qu'il existe une façon d'utiliser ce qu'on protège, et cette façon peut toujours être attaquée (c'est une question de temps et de moyens).

La meilleure solution est la prévention : soyez paranoïaque.
L'idée est de "garder le contrôle de son ordinateur", ce qui veut dire "ne jamais choper de logiciel malicieux".
Par exemple, avoir 2 ordinateurs, un sûr et un pas sûr :
- Avec le 1er et on gère son compte en banque, on fait ses achats, on joue à WoW, on stocke ses photos compromettantes, etc., mais on ne clique jamais sur un lien qui ne soit pas connu (il faut être très attentif, une lettre de différence suffit...), on ne récupère jamais de fichier dont la source ne soit pas fiable, etc., et on a quand même tout l'arsenal de protection habituel (antivirus, etc.).
- Avec le second on peut faire n'importe quoi, mais sur ce PC on n'a aucune donnée personnelle, financière, etc. Pour ceux qui savent le faire, avoir un OS virtualisé est la meilleure solution (les informaticiens, qui sont restés de grands enfants, appellent ça un OS "bac à sable").

ou s'acheter un mac

ellrohir a écrit:

ou s'acheter un mac

Réponse qui ne sert à rien, il y a moins de chance de se faire hacker sur un mac c'est vrai car.... il y a moins de monde qui utilise un mac, donc forcément il y a statistiquement moins d'intérêt à essayer de hacker un mac.
Si on suit ton raisonnement, tout le monde achéte un mac et laisse son PC, les chiffres s'inversent et là bizarrement ceux seront les mac qui se feront hacker.
En plus, si on suit un peu l'actualité, Apple, a pas mal de faille sécu dont ils se fichent ou qu'il mettent longtemps à corriger.

La solution est en fait, si on n'a pas 2 ordi ou 2 OS comme le cite Ecce, ce qui est en effet le mieux, de ne pas aller voir de site chelou (hack, XXX, blog chinois...), d'être à jour au niveau anti-viral, antispy, de ne pas ouvrir les pièce jointe des mails, et d'être parano sur les liens dans les emails, ne jamais les utiliser.