hacke par un autentificator

Accès public pour nous écrire sans être membre de la guilde.
Répondre
Carver

hacke par un autentificator

Message par Carver » 28/02/2010 15:59:09

source http://www.millenium.org/section/52-act ... henticator

Pour décrire les circonstances plus en détail :

Je n'ai touché à rien depuis que je l'ai enregistré la première fois dans la gestion de compte.

Il est impossible que cela vienne de mon entourage ou de mes contacts IRL. Je ne joue que depuis mon domicile, aucune autre personne n'a accès à mon ordinateur, l'authentificator n'a jamais été sorti de la pièce ou se trouve l'ordinateur. Tout spécialement pas ces derniers jours et semaines. Seuls mes proches ont accés à ma chambre et je doute honnêtement qu'ils sachent à quoi sert un authentificator.


Voila ce qui est arrivé :

J'étais en jeu, j'ai une erreur critique de violation d'accès à la mémoire. Je n'ai pas eu assez de bon sens avec ça, je n'y ai pas prêté une attention particulière.

J'ai essayé de me reconnecté, je met le bon mot de passe et le code de l'authentificator dans la page de connexion de WoW. J'obtiens le message "Informations erronées". J'essaye plusieurs fois.

Je vais sur la page de gestion de compte de WoW-europe, j'essaye de me connecter, j'obtiens un message disant que les nombres utilisés pour le code de l'authentificator ont été erronés à plusieurs reprises, et que mon authentificator est verrouillé pour le moment ou quelque chose du genre.

Je vais vérifier mon système, je découvre un DDL. suspicieux (emcor.dll si je me rappel bien, ESET NOD32 ne l'avaient pas trouvé, ni Spyware Doctor, je l'ai trouvé en utilisant Security Task Manager, il a été mi en quarantaine et supprimé, malheureusement je ne me suis pas embêté à chercher des infos à ce sujet, google n'apportant pas beaucoup de retours au premier coup d'oeil).

Je le supprime etc. etc. (cela m'a demandé 15 minutes environ).

Je me reconnecte (j'ai à utiliser l'authentificator, il n'avait pas été supprimé de mon compte), l'équipement avait disparu.

Je fais un report MJ, je me déconnecte, je vérifie mon système correctement.

Je vais sur la page de gestion de compte, je m'y connecte sans soucis (encore une fois en utilisant mon authentificator), je vérifie si l'authentificator était toujours assigné à mon compte (il l'était), j'ai changé le mot de passe du compte juste au cas où. Je n'ai pas touché à l'authentificator, je n'ai jamais enregistré son numéro de série nul-part en dehors de l'unique fois ou je l'ai enregistré sur mon compte il y a 2 ans.


Plus d'info sur le fichier .dll suspicieux:
Edit: emcor.dll avait été trouvé dans /users/username/appdata/Temp

Il crée une entrée de registre démarrant automatiquement (ou peut important comment ça s'appel). Je trouve intéressant que NOD32 ne trouve pas que cela soit un comportement suspicieux quand il démarre un fichier .dll depuis ce chemin de dossier...

Je n'ai pas prit de notes sur la suite (c'est ma faute, je n'avais pas de trucs ejectiondujeu et email des infos+wtf/config.wtf et autres dans les informations fournies par Security Task Manager).

Alors oui, c'est un cas isolé de hacker qui a été très chanceux de hacker mon compte en temps réel (le code digital d'un authentificator change toutes les 30 secondes), ou alors ça a fini par commencer.

Emcor.dll, selon une des seules pages que j'ai trouvé dessus sur google a été vu pour la première fois aux alentours du 24 ou 25 Février 2010, donc c'est quelque chose de nouveau.

edit: Je ne sais pas où et comment j'ai choppé le fichier. Je ne prend pas trop de super mesures de sécurité supplémentaires, juste les habituelles (spyware, antivirus, pas de script toujours actif sous firefox).

Répondre