voila un post que j'avais mis sur le fofo des abso :
Hey coucou les gens , en vu de la vague de priratage de compte je vous est dégoter ceci ! Apriorit c'est une petite DLL qui c'es fourré dans votre systeme qui a soie été oublié par blizzard los de leur test sur la derniere maj 2.4 , soit quelqu'un tres proche de blizzard quil l'a cree et qui donc est vu comme un programme associer a wow et donc pas detecter pas les anti-virus et autre sois je sais plus quoi .
Cette DLL se trouve ( si vous l'avez ) ici : Citation:
Résultat : sur les 3 PC que nous utilisons, 2 étaient infectés par un troyan.
Le fichier incriminé : C:\WINDOWS\system32\widpwsdrv.dll
et voila quelque texte qui vous aidronz a y voir plus clair :
Citation:
=> Cette variante du trojan est bien un keylogger
It should be noted that some of trojan variants try to supress AVP anti-virus scanner windows. Also, if a system debugger is detected, the trojan does not attempt to steal data. Some of trojan's strings are formed by executable code. This is done to make the trojans less "visible" to heuristic scanners that react on certain types of text strings in the inspected files."
=> les antivirus ne la détecte pas
Ce qui me conforte dans l'idée que la piste est bonne est que Blizzard a déjà recensé et intégré au launcher des variantes précédentes de ce trojan.
et
Citation:
En analysant cette DLL, j'ai constaté qu'elle contenanait des fonction de KeyLogging et aussi faisait appel à la bibliothèque des socket Windows (connection au reseau). Je pense que ce sont ces meme recherches qui ont fait supposer que ce soit un KeyLogger. A noter que c'est plutot inhabituel pour un virus de faire autant appel à des modules publics, normalement il y a une programmation très minimaliste très proche du système.
En analysant les trames ethernet, jamais aucune connection ne se produit en dehors des serveurs de bilzzard... étrange. Enfin étrange pour un virus.
Autre truc trés étrange pour un virus, cette DLL contient des fonction publiques :
- DllCanUnLoadNow
- DllGetClassObject
- DllRegisterServer
- DllUnregisterServer
C'est la première fois que je vois un programeur de virus être aussi '"généreux" en nomant explicitement et en rendant publiques des fonctions qu'il a développées avec amour
Autre truc bizzare découvert sur mon PC, un fichier de rapport de crash wow récemment créé (en fait le seul que j'ai, et qui date comme par hasard de la 2.4). Voici quelques extraits:
------------------------------------------------------------------------------
This application has encountered a critical error:
ERROR #132 (0x85100084) Fatal Exception
Program: C:\Program Files\World of Warcraft\WoW.exe
Exception: 0xC0000005 (ACCESS_VIOLATION) at 001B:0CD168A7
The instruction at "0x0CD168A7" referenced memory at "0x00000000".
The memory could not be "read".
WoWBuild: 7799
------------------------------------------------------------------------------
[...]
--- Thread ID: 388 ---
7C80B50B 0EFCFFEC 0001:0000A50B C:\WINDOWS\system32\kernel32.dll
--- Thread ID: 436 [Current Thread] ---
0CD168A7 0F0CFFEC 0001:000058A7 C:\WINDOWS\system32\widpwsdrv.dll
--- Thread ID: 5224 ---
7C802451 0F1CFF98 0001:00001451 C:\WINDOWS\system32\kernel32.dll
00750712 0F1CFFB4 0001:0034F712 C:\Program Files\World of Warcraft\WoW.exe
7C80B50B 0F1CFFEC 0001:0000A50B C:\WINDOWS\system32\kernel32.dll
[...]
--- Thread ID: 436 [Current Thread] ---
0CD168A7 widpwsdrv.dll DllGetClassObject+695 (0x0CD17450,0x00000000,0x00000000,0x00000000)
Petite explication pour les non spécialistes:
Le programme wow.exe à planté alors qu'il utilisait précisément une fonction publique de la fameuse DLL....
J'ai fouillé en détail l'enchainement des processus, voilà ce qui se passe:
- L'explorateur window inscrit dans une clef de registre la fameuse DLL à charger par défaut dans une zone réservée au interceptions de traitement de signaux, typiquement là ou se placent les keyloggers.
- Le LANCEUR WOW choisi d'hériter de ce module sans se poser de question, j'ai pu observer que cette DLL était chargée dans sa zone mémoire. Pour un programme censé vérifier la sécurité du système, ça la fout vraiment mal!
- Plus grave, le programme wow.exe (lancé par le lanceur....) hérite lui aussi sans se poser de question des modules du lanceur dont la fameuse DLL widpwsdrv.dll, de plus il la met spécifiquement dans une thread bien tranquille (thread = module était capable d'avoir une vie parallèle au processus). La trace que j'ai trouvé semble meme indiquer que le programme wow appelle llui même la dll... Ironie de l'histoire, si on n'utilise pas le lanceur, on ne charge pas la DLL, c'est donc bien la peine de préconiser la lancement préalable d'un programme censer vérifier la sécurité et qui s'avère un "passeur de plat" pour les keyloggers....
Pour résumer, je trouve que cette DLL fait particulièrement bon ménage avec wow, elle apparait en meme temps, elle n'est pas détectée, elle est intégrée dans le processus, voire meme utilisée... donc plusieurs hypothèses (qui peuvent se recouper):
- On se doutait bien que wow était une passoire, on se trompait, c'est UN TROU BéANT! messieurs les hackeurs, allez y, rien de plus facile que de pirater ce programme, à la limite, c'est meme pas drole tellement c'est facile.
- Cette DLL n'a rien à voir, c'est juste un oubli des développeurs de blizzard sur certains sites mirroir, mais bon ça fait tache quand meme...
- Cette DLL a été construite par des gens très très proches de Blizzard et spécifiquement pour wow, ce qui explique pourquoi aucun anti-virus n'ait pu détecter la chose. En tout cas tout ceci ouvre l'hypothèse que depuis la 2.4 quelqu'un à sciemment vérolé le programme de l'interrieur...
Messieur les MJ, un de vos collègues m'a encore accusé aujourd'hui de n'avoir pas sécurisé mon PC, et que par conséquant tout était de ma faute, et que donc j'avais rien à dire quant à mon blocage de compte... il est vrai que j'avais été Naïf, j'avais lancé un programme complètement incertain et dangeureux sur mon pc... ce programme s'appelait : wow.exe, à l'avenir je me méfirait.
ou encore
Citation:
Une DLL (dynamic Link Librairy) est comme son nom l'indique uniquement une bibliothèque de fonctions. C'est à dire que si personne ne l'appelle, elle ne peut pas agir... il ne s'agit pas d'un programme autonome qui pourrait effectuer une surveillance de tout le pc. Il s'agit de fonctions qui peuvent être instanciées (embarquées) pour pouvoir être éventuellement appelées par le programme en question.
Quand j'ai analysé le fonctionnement, j'ai constaté qu'une simple déclaration de cette DLL dans la base de registre, suffisait à la faire instancier aussi bien par le Lanceur wow que par le programme wow.exe. De plus, il faut qu'à un moment ou un autres ils appellent des fonctions de cette DLL pour la mettre en route, ce que j'ai pu constaté en analysant mon fichier de crash. Le fait que, en plus de ça, cette DLL soit extrèment peu connue parmis les spécialistes en virus me laisse vraiment perplexe, je vois à ça 2 hypothèses:
- Soit les développeurs de Blizzard sont vraiment des grosses quiches qui ne maitrisent meme pas le lancement de leur programme puisqu'ils acceptent d'instancier n'importe quelle fonction, de l'appeler, sans meme vérifier quoi que ce soit.... si c'est le cas, alors le hack n'aura absolument aucune limite.
- Soit le fait que cette DLL si inconnue des antivirus ait l'air si compatible avec le programme wow, c'est qu'elle est issus des mêmes ateliers de développement... par exemple, ça peut etre un bouchon "oublié" lors de la livraison finale du programme (bouchon= mini programme développer pour etre branché sur un autre à des fins de tests)
La coïncidence de la vague de hack avec le téléchargement de la 2.4 me ferait pencher pour la 2ieme hypothèse.
D'autre part, y'a un autre truc plus que bizarre pour un virus classique, c'est son extrème facilité à être effacé.... cette DLL, on peut la renomer, l'effacer... la clef de registre peut elle aussi etre effacée tranquillement... jamais ça ne réapparait. C'est vraiment très très peu coriace pour un virus Aucunement besoin de faire toutes les manips citées plus haut (édition de l'autoexec.bat etc...), en tout cas chez moi. Il suffit simplement d'indiquer dans la base de registre qu'on ne veux plus l'instancier. Ce comportement est plutot celui d'une programmation tout ce qu'il y a de plus classique....
quoi encore ? et oui yen a du texte a lire , meme moi qui aime pas lire je me suis sentis obligé ..
Citation:
c'est normal qu'il soit aussi facile à nettoyer.
Cette DLL n'est un module que de wow et strictement de wow. Tant que lanceur n'est pas lancé cette DLL n'est pas appelé donc pas utilisée. A ce moment la tu peux la modifiée a souhait.
Les virus classiques s'associent à des process system tels Svchost.exe ou explorer.exe dans lesquels ils s'injectent. D'ou la difficulté de nettoyage.
Ici seul process associé = WoW donc tant que ce dernier n'est pas lancé le fichier n'est pas protégé en écriture donc c'est open bar pour le dégager.
Cest d'ailleurs je pense une des raisons qu'il fait qu'il ne soit toujorus pas detecté par les AV il n'atteint pas du tout le systeme et cible que nos jeux préférés en ligne. Autrement la dernière priorité de nos confrères anti viraux .
Comment avez vous pu etre infecter si ce n'est pas une erreur de sécuriter de blibli ?
Citation:
compromission d'un exécutable fourni par blibli n'est pas impossible mais si c'était le cas il y a des chance que l'épidemie ait pris des proportions encore plus importantes, et on ne pourra rien faire de toute façon.
Pour les autres pistes :
- le truc le plus facile serait d'attaquer un logiciel de mise à jour automatique de plugins, les wowaceupdater, et curse client n'ont pas les resources de blizzard pour ce protéger d'un piratage.
- l'exploitation d'un faille d'un navigateur ou d'un plugin web -> pas impossible non plus n'hésitez pas à utiliser le mode sandbox d'internet explorer 7 ou un navigateur alternatif, qui, sans être forcément plus sûr, sont moins attaqués pour des raisons de volume. customisée
- tout autre executable/crack/version de windows non officielle, en particulier si ça a un rapport avec le monde du MMORPG.
Bref tres simple a suprimer il suffit de le suprimer comme il est cité dans les textes au dessus ce " keylogger " est d'une simpliciter enfantine Faites attention ou vous cliquer ... ancun anti-virus le detect sauf un le voici le voila ! :
Security Task Manager, shareware que l'on peut télécharger rapidement ! téléchageable sous 30j d'essai ici => ICIµ
PS : siouxy t griller avec ton win lsd dl xD j'ai laisser ce fond moi aussi