# Virus beim Addon Download auf Buffed -> Information



## mäh82 (7. April 2012)

Heute wollte ich bei Buffed aktualisierte Versionen meiner addons herunterladen. Dabei musste ich folgendes feststellen. Und zwar passiert es unabhängig davon welches addon ich downloaden möchte das mein Virenscanner (F-Secure Internet Security 2011) einen Trojaner erkennt.

Zum Ablauf:

1. Addon auswählen
2. Auf den Download Link klicken
3. Popup Fenster öffnet sich mit Werbung und dem Hinweis das der Download in 10sec beginnt
4. Der Download beginnt nach 10sec. Es wird aber nicht das gewünschte addon downloadet wie z.B. decursive.zip sondern eine Datei   namens wow_addons.zip die eine wow_addons.exe erhält welche wohl weiter Dateien im Gepäck hat einschließlich des Trojaners
5. Bei versuchen mit anderen addons immer der selbe Ablauf 10sec verstreichen und es folgt die wow_addons.zip

Anders sieht es aus wenn ich die 10sec nicht abwarte sondern auf bla bla bla sollte der Download nicht funktionieren klicken sie hier klicke. Dann erhalte ich zumindest augenscheinlich die gewünschte Datei.

Meine Frage hierzu nun ist die ein bekanntes Problem ? (In den Foren konnte ich hierzu mit der Forensuche nichts finden bzw. hatte ich bei Buffed in der Vergangenheit keine Probleme dieser Art) 

Das Problem tritt unabhängig vom Browser oder System auf. Ein Kollege den ich aufgrund des Problems darum bat dies selbst auch zu versuchen musste dasselbe Problem bei sich feststellen.


----------



## Tikume (7. April 2012)

Fehlalarm


----------



## kaepteniglo (7. April 2012)

Scheinbar kein Fehlalarm.

Es erfolgt eine Weiterleitung auf ein Forum bei canadianparents[dot]com.

Hier der Screenshot von Kaspersky
[attachment=12591:canadianparentsjpg.jpg]

Die Werbung, welche vorher angezeigt wird, ist unterschiedlich (VW Passat, eine 9/11 Doku, etc.)


----------



## Tikume (7. April 2012)

Der Download ist ok, das habe ich gecheckt 

Wo ihr landet wenn ihr aus 200 Quellen Javascript erlaubt mag was anderes sein.


----------



## kaepteniglo (7. April 2012)

Wenn man auf den Link klickt, der erscheint ist der Download auch bei mir ok. Aber wenn man 10sek wartet und der Download dann starten soll, wird man nicht korrekt weitergeleitet.


----------



## Tikume (7. April 2012)

Und wegen sowas blocke ich javascript und klicke


----------



## dummesbrot (7. April 2012)

Hallo zusammen,

weiß nicht wohin damit, glaube aber hier wird am meisten gelesen.

Die buffed-Seite ist wohl gehackt worden, weil wenn man unter WoW Addons sich das Addon NPC Scan runterzieht, zieht man sich einen Trojaner!

Anstatt NPC Scan zieht man folgende Datei wow_addon.zip, die sich beim entpacken in wow-exe ändert. Kann also sein das es auch andere Addons betrifft!

Beim nächsten Einloggen, kommt man nicht mehr auf den Acc. Es erscheint eine Fehlermeldung, das die eingegeben Daten nicht stimmen. Diese Daten des einloggens werden sofort hintenrum an den Hacker 

versandt (man-in-the-middle-attack), der sich sofort einloggt und euren Acc leerräumt, trotz Authenticator!!!

Ist mir heute morgen passiert

Kann man hier eig i-wo ein Ticket erstellen um das direkt zu melden?

Hoffe ihr bleibt verschont und man reagiert hier seitens buffed.de direkt

Gruß und schöne Ostern euch Allen


----------



## mäh82 (7. April 2012)

Hmmm....  Bei mir hat der Virenscanner das direkt abgefangen bzw. eine mögliche Installation verhindert.

Hast du dich schon bei Blizzard gemeldet ??


Ich denke der Beitrag im Forum sollte ausreichen ansonsten hast du ja noch die Möglichkeit eine Mail direkt an den Buffed  Support zu schicken support@buffed.de


----------



## ZAM (8. April 2012)

Information zum Angriff auf Computec-Seiten.

Wie wir dank Eurer Hinweise rasch analysieren konnten,gab es zum Freitag einen Hackerangriff auf diverse Seiten unseres Verlags. Dabei haben die Angreifer dafür gesorgt, dass Teile der Download-Auslieferung manipuliert wurden, so dass neben den eigentlichen Downloads zusätzlich eine im Zip-Format gepackte Datei mit einen Keylogger namens "wow_addons.zip" heruntergeladen wurde. Auch einige bestehende Download-Dateien wurden mit dem Keylogger ersetzt. Diese Änderungen haben wir bereits wieder rückgängig gemacht. Bei aktivierten Virenscannern besteht jedoch keine Gefahr. Zudem haben die Angreifer versucht unsere Server zu kontrollieren. Die Ursachen haben wir mittlerweile entfernt. Weiter Zugriffe oder Angriffsversuche sind nicht auszumachen. Jedoch analysieren wir auch weiterhin die Vorgänge und haben Maßnahmen eingeleitet, um weitere Schadversuche zu unterbinden. Solltet Ihr keinen Virenscanner nutzen und seit Freitag Dateien von unseren Seiten bezogen haben, ist dringend zu empfehlen, einen Virenscanner einzusetzen bzw. zu installieren und einen Scan laufen zu lassen. Wer einen aktualisierten Virenscanner im Einsatz hat, wurde sehr sicher bereits dadurch geschützt und auch informiert.

Wir bitten die Unannehmlichkeiten und Antwort-Verzögerung zu entschuldigen. Wir haben uns jedoch vorrangig um die Bereinigung gekümmert. Bei Fragen können wir sie hier noch beantworten oder unter cccadmin [at] computec.de


----------



## Mazz (9. April 2012)

Was ist denn mit den Dateien "MMO-Addon.exe", die jetzt bei den ganzen Addons stehen? Ich finde es komisch, dass es Anwendungen und keine Zips sind und bei unterschiedliche Addons dennoch die gleichen Dateinamen haben.


----------



## dummesbrot (9. April 2012)

Mazz schrieb:


> Was ist denn mit den Dateien "MMO-Addon.exe", die jetzt bei den ganzen Addons stehen? Ich finde es komisch, dass es Anwendungen und keine Zips sind und bei unterschiedliche Addons dennoch die gleichen Dateinamen haben.



Habe es auf einem anderen Rechner ausprobiert, bei dem Addon Recount bzw. MMO-Addon.exe *handelt es sich wieder um einen Trojaner*, also Finger weg.


----------



## Mazz (9. April 2012)

Irgendwie dachte ich mir das schon. Danke für die Bestätigung.


----------



## ZAM (10. April 2012)

Leider wurde etwas übersehen und dadurch waren noch ein paar Dateien kompromittiert. Mittlerweile haben wir bis zum letzten Punkt die Angriffe zurückverfolgt und die Tür soweit dicht gemacht. Jedoch beobachten wir sehr genau was auf den Servern geschieht und scannen permanent auf mögliche Aktivitäten. Wer sich jedoch unsicher ist, dem steht es natürlich frei, sich seine Add-ons anderweitig zu besorgen. Wir halten Euch über Fortschritte zu dem Thema natürlich auf dem laufenden und entschuldigen uns bei allen Geschädigten.

*Wichtiger Hinweis:* Wir bieten grundsätzlich keine Add-on-Dateien mit der Endung "exe" an. Auch enthalten die von uns bewusst bereitgestellten Zip-Dateien keine EXE-Dateien. Sollte so etwas in den Downloads (bereits heruntergeladen) zu finden sein, handelt es sich um eine kompromittierte Datei. Jeder aktuelle Virenscanner erkennt zudem die falschen Dateien.


----------



## Dawntide (11. April 2012)

Hallo,

Ich habe in den letzten 30 Minuten mehrmals diese Virus Meldung von GData bekommen. Da GData eines der zuverlässigsten und besten Antiviren Programmen ist, scheint es keine Fehlmeldung zu sein.



> Virenprüfung von Web-Inhalten
> 
> Adresse:     wowdata.buffed.de
> Virus:     Exploit.Java.CVE-2012-0507.N (Engine A), Java:CVE-2012-0507-C [Expl] (Engine
> Status:     Der Zugriff wurde verweigert.



Diese Meldung erscheint auch, wenn ich garnicht auf buffed oder sonstigen World of Warcraft Seiten bin!

MfG Dawntide


----------



## Tikume (12. April 2012)

Jeder Virenscanner kann Fehlermeldungen bringen. Ich empfehle dir NoScript. javascript suckt.


----------



## Dawntide (12. April 2012)

Das löst aber noch lange nicht das Problem. NoScript nervt, da man alles einzeln freigeben muss.


----------



## E.o.B (12. April 2012)

Ich stimme da voll zu. Irgend etwas ist da faul im Staate Buffed.
Sobald ich mir die "Spaß zu später Stunde..." Seite öffne, fängt M. S. Essentials den oben genannten Schädling ab. Wenn ich mir dabei die Processe anschaue die der Browser, bei mir Firefox, anlegt sieht das nicht grade gesund aus. (Hauptsächlich Java Dinge)
Dabei wird noch versucht etwas per DOS-Shell auf Systemebene zu starten.
Mit deaktiviertem Javascript im Browser, wie anders zu erwarten, keine Probleme.


----------



## Nestril (12. April 2012)

Seit gestern bekomme ich jedesmal die Virenmeldung von GData ausgespuckt wenn ich eure Seite besuche.

Virus: Exploit.Java.CVE-2012-0507.N (Engine A), Java:CVE-2012-0507-C [Expl] (Engine 

Die Addresse die er mir dazu ausspuckt und verweigert ist: wowdata.buffed.de

Ich weiß das Java Lücken hat, allerdings hab ich bei meinem das neuste gezogen um die Lücken zu schließen. 

Grüße
Nestril


----------



## DJSinclair (12. April 2012)

Hallo ich kann dich in der hinsicht beruhigen das du nicht alleine diese Meldungen bekommst.<br>Ich bekomme diese Meldungen von Microsoft Security Essential und Malwearbytes auch.
*Exploit:Java/CVE-2012-0507.D*Diese Meldung kommt bei mir sofort wenn ich die Seite von Buffed aufrufe.
Desweiteren hatte ich schon versucht Zam vor ca.einer Woche in einer Mail mitzuteilen, dass wenn man unter WOW ADD Ons, z.b. Bartender4 oder WIM Downladen möchte,
 sich ein Virus aufplopt der sich* PWS:Win32/Wowsteal.BC*; nennt.
Leider kam bisher keine Reaktion auf meine Mail, wo man mir hätte bestätigen können, dass<br>man sich dieser Sache angenommen hätte.


----------



## jfsam (12. April 2012)

Also heute hab ich auch vierenmeldungen bekommen wegen dem aufrufen der buffed-seite.
Benutze Antivier


----------



## relo (12. April 2012)

DJSinclair schrieb:


> Hallo ich kann dich in der hinsicht beruhigen das du nicht alleine diese Meldungen bekommst.<br>Ich bekomme diese Meldungen von Microsoft Security Essential und Malwearbytes auch.
> *Exploit:Java/CVE-2012-0507.D*Diese Meldung kommt bei mir sofort wenn ich die Seite von Buffed aufrufe.



Kann ich auch bestätigen, MSE hat zwar eine Infektion verhindert allerdings hang hinterher Firefox und Java.
Java Plugin deaktiviert und es kommt keine Warnung mehr.
Diese Exploits sollten aber auch nichts ausrichten können wenn man die aktuellen Version von Java installiert hat 6/31.
Ich denke Buffed hat da grad ein arges Problem.


----------



## ZAM (12. April 2012)

Wir prüfen den Vorfall momentan noch.


----------



## Gazeran (12. April 2012)

Ich finde ZAMs Avatar passt sehr gut zur Situation grade, das geht wohl grade im Hause Computer ab 
Naja viel erfolg noch beim rumsuchen 

kleine info am rande:
wenn ich nen neuen Beitrag erstelle öffnet sich mein letzter geschlossener Tab
Bug meinerseits oder hängt das damit zusammen? (Mac, Mozilla Firefox)


----------



## ZAM (12. April 2012)

Gazeran schrieb:


> wenn ich nen neuen Beitrag erstelle öffnet sich mein letzter geschlossener Tab
> Bug meinerseits oder hängt das damit zusammen? (Mac, Mozilla Firefox)




Klingt eher nach Browser"f*ck*p". Mal Browser neu starten.


----------



## Gazeran (12. April 2012)

ZAM schrieb:


> Klingt eher nach Browser"f*ck*p". Mal Browser neu starten.



K, kam nur grad gleich xD
funktionuckelt wieder


----------



## Dawntide (12. April 2012)

Es ist beruhigend und unberuhigend zu gleich, dass noch mehrere Leute die Java Exploit Meldung bekommen. Ich frage mich wie es sein kann, dass der Download von bekannten Addons wie Recount infiziert ist? Solange das Problem vorliegt, solltet ihr den Download von Addons nicht mehr anbieten.


----------



## Krueger (12. April 2012)

Ihr scheint das Problem immer noch nicht im Griff zu haben. Eben ist auf der Startseite mein MSE angesprungen. 

Oder ist es korrekt, daß ihr ein Script von einer co.nz-Seite nachladet?


----------



## Sunyo (12. April 2012)

Mein Norton schlägt seit eben auch Alarm. Folgende Infos:


----------



## ZAM (12. April 2012)

Wir nehmen Eure Hinweise alle entgegen. Der Angreifer hat nur ein paar fiese Haken geschlagen, bevor die Klatsche drauf war. Trotzdem sind wir weiterhin wachsam.


----------



## Fendrin (12. April 2012)

Das sagt mir Nod32 auf der Startseite [attachment=12610:buffed_2.jpg]
Die WoW Datenbank wird komplett geblockt XD [attachment=12611:buffed.jpg]

lg


----------



## ZAM (13. April 2012)

Fendrin schrieb:


> Das sagt mir Nod32 auf der Startseite [attachment=12610:buffed_2.jpg]
> Die WoW Datenbank wird komplett geblockt XD [attachment=12611:buffed.jpg]
> 
> lg



Ja, wegen dem Viruserkennungskram hat Nod32 die Domain wohl temporär auf die Blacklist gepackt.


----------



## Kamsi (13. April 2012)

also mein kaspersky läuft nicht amok ^^ aber das forum und die website scheint zu laggen weil everybody.nz nicht geladen werden kann


----------



## Zahleb (15. April 2012)

[attachment=12617:buffedav.jpg] 



15.04.2012 13:53 während des Aufrufs von www.buffed.de


----------



## Xorras (18. April 2012)

Könnte ich dann bitte die IP des Crackers haben? :>
Ich sinne auf persönliche Rache! :>


----------

