Allgemein Gaming Sicherheit

Microsoft-Punkte und WoW-Gold umsonst? Ja, genau.

Als Journalist im Fachbereich IT-Sicherheit übt Malware verständlicherweise einen großen Reiz auf mich aus. Ich finde die Programme faszinierend und verschlinge gerne die Reports zu Stuxnet und Co, wenn sie denn von den Analysten bei Symantec, F-Secure, Kaspersky, Sophos und Co veröffentlicht werden. Nur die fertigen Berichte zu lesen wird aber irgendwann langweilig, schon länger will ich mich selbst an so etwas versuchen. Dazu muss ich allerdings zugeben: Wenn es um das Thema Programmieren geht, hab ich höchstens gefährliches Halbwissen. Aber ich verstehe die Zusammenhänge. Ich kann einen Quelltext soweit interpretieren und den Kontext analysieren, dass ich verstehe, was eine Webseite oder ein Programm da veranstaltet. Ein kleines Wort zum Start noch: Ich bin da komplett neu, wenn ich also Fehler mache oder etwas falsch interpretiere, sagt mir bitte Bescheid, bevor ihr den Beitrag komplett niedermacht.

Zwei Dinge haben mir dabei deutlich weitergeholfen: Die Veröffentlichung des Buches „Practical Malware Analysis“ und ein Artikelauftrag der GameStar (noch nicht online, Link reiche ich nach). Im Artikel ging es u.a. darum, warum und wie sich Kriminelle Zugang zu den Konten der Spieler verschaffen.

MS Points und WoW Blaster
MS Points und WoW Blaster

Vor allem auf YouTube finden sich massig Links zu „Hacks“ und „Generatoren“. Diese Programme versprechen nahezu alles, was man sich vorstellen kann: Microsoft Points, Gold für WoW, Spiele für Steam oder Origin. Der Modus Operandi ist nahezu immer gleich: Ein YouTube-Video zeigt das Tool in Aktion, die Beschreibung dazu enthält den Link zum Download und oft eine Geschichte. Diese erklärt wie ein „Hacker“ eine Schwachstelle bei Microsoft/Valve/EA/Blizzard gefunden hat und diese nun mit allen Nutzern im Internet teilt, etwa um gegen hohe Spielepreis zu demonstrieren oder um es „the Man“ einfach mal zu zeigen. Das Video unten ist so ein Beispiel: Ich habe es aus YouTube exportiert und hier wieder hochgeladen, um diesen Idioten keine zusätzlichen Views zu geben.

50 Prozent der Links führen zu Filehostern (Megaupload war bei meiner letzten Suche noch immer stark vertreten) und zum Download von Programmen. Die andere Hälfte gibt die (laut den Beschreibungen deutlich überlegenen Tools) nur frei, wenn mindestens eine Umfrage ausgefüllt wird. Überraschung: Selbst wenn man durch die Fragen durch ist, klappt das mit der Freigabe nicht, man möge doch noch eine weitere Umfrage ausfüllen usw usf. Deutlich seltener ist Social Engineering, wie etwa dieses Bild schön zeigt

Xbox Live Gold und MS Points
Xbox Live Gold und MS Points

Ich finde den Hinweis am Ende nett: Kein Passwort eingeben (Braucht er auch nicht, weil er dank geheimer Frage und Antwort das Kennwort bequem zurücksetzen kann).

Die Apps sind alle relativ einfach: Man müsse nur Nutzername und Passwort eingeben, einen Knopf drücken und schon hat man Spiele/Gold/MS Points/usw. Ich hab mir eine isolierte virtuelle Maschine hergerichtet (teil meines Setups hier) und zwei Programme vorgenommen: den WoW Blaster und Microsoft Point Generator V5.

Beide sind offensichtlich in Visual Basic erstellt und laufen nur mit dem .Net Framework. Ich hab es zunächst mit Strings und IDA Pro probiert, beides liefert aber nicht wirklich aussagekräftige Ergebnisse. Ein wenig googeln hat mich zum MSIL Disassembler-Tool gebracht. Und hey, das Ding ist cool. Es zerlegt das Programm komplett und zeigt die Innereien als Plaintext.

Ziemlich schnell bestätigt sich mein Verdacht: Von wegen ausgefeiltes Hacking. Beide Apps nehmen die Daten der Nutzer, packen sie in eine E-Mail und verschicken sie über die Funktion „System.Net.Mail“ an den Macher der Malware. Interessant ist, dass beide den Google-SMTP nutzen. Hier zeigt sich dann meine fehlende Erfahrung: Ich weiß, dass irgendwo ein Passwort für den SMTP stecken muss, ich finde es allerdings nicht. Vielleicht habe ich mit einem gespooften DNS und Wireshark mehr Glück.

Der WoW Blaster macht noch ein wenig mehr als „nur“ die Zugangsdaten zu verschicken: Er nimmt sich die Hosts-Datei von Windows vor und biegt zahlreiche Einträge um. Googles-Mailserver, Yahoo, Comcast und RedTube (die Macher wissen, was WoWler brauchen…) werden alle auf eine IP in Portugal umgebogen, hinter der allerdings scheinbar nichts mehr läuft.

Hosts-Attacke
Hosts-Attacke

Soviel also zu meinem ersten Versuch mit Malware und Disassemblierung. Ich find es spannend und versuche dranzubleiben – das Buch ist eine großartige Hilfe und vielleicht wird daraus ein schönes neues Fachgebiet.

Über den Autor

Moritz Jäger

Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

3 Kommentare

Hier klicken um zu kommentieren

Werbung

Gastblogger gesucht Nerd-Supreme sucht Gastblogger!

Archive

banner