Cuidado: Exploit descubierto involucrando DotA y otros mapas

Un nuevo exploit esta circulando entre hackers que permiten a un mapa customizado ejecutar código arbitrario en un cliente e instalar troyanos/virus/keyloggers fuera del engine de Warcraft III. Hasta ahora ha atacado juegos públicos en particular; los hackers han creado mapas de dota falsos que usan el mismo nombre y extensión/carpeta que DotA 6.59d, consecuentemente se verá la imagen del mapa en tu lista de custom games y es efectivamente imposible de tomar precauciones en contra, ya que no posee alguna diferencia discernible entre una partida normal y otra infectada. Es por ello que es altamente recomendable que dejen de jugar juegos públicos de dota hasta que blizzard pueda eliminar este exploit. Ellos ya se encuentran enterados de esto.

Para aquellos que duden que tan peligroso es esto: al imitar a dota, cualquiera que haya descargado legitimamente el mapa verá el juego en la lista de juegos creados con la imagen supuestamente igual, y se acabará de descargar antes que la ventana del lobby se muestre por completo, debido a su tamaño diminuto (<100kb). Una vez que empieze el juego, el virus se extraerá automáticamente e infectara tu computadora, permitiendo que código malicioso sea ejecutado a voluntad del hacker.

No entres a juegos hosteados por gente que no conoces. Con esto me refiero a juegos públicos o Battle.net.

La mejor precaución que puedes tomar por ahora si quieres seguir jugando dota, es mantener tu carpeta de mapas abierta, y ver si algún archivo nuevo es añadido. Si esto es así, inmediatamente abandona el lobby, antes que el host pueda empezar el juego (e infectarte), y borra el archivo nuevo. Si tu computadora ha sido infectada, debes correr el mejor antivirus que puedas encontrar, y no inicies sesión con ninguna cuenta en tu PC (e-mail, msn, garena, etc) ya que hay una alta probabilidad de que tu password sea keyloggeado. Si estás seguro de que tu PC está infectada, la única manera segura de eliminar el virus es formatear tu computadora.

Aquí una prueba (inofensiva) de lo que el virus puede hacer. Al cargar el siguiente mapa en Single Player (no importa si es 1.22 o 1.23) éste abrirá una ventana MS-DOS con un mensaje de alerta, algo que NO debería permitir y está fuera del alcance de Warcraft III. Si bien el mapa es inofensivo, muestra algo del potencial de dicho exploit.

Mapa test:
http://www.mediafire.com/?1tr1azjzdmq

Fuentes:
http://forums.dota-allstars.com/inde...owtopic=281413
http://forums.battle.net/thread.html...14458&sid=3000

Ya saben, tengan cuidado al unirse a partidas de terceros. Si bien aún no esté muy difundido en Perú, nadie puede asegurar que personas malintencionadas se hagan de dichos mapas y empiezen a infectarlos.

[OFFTOPIC]Con al basura que son las conexiones peruanas esos 100kb del "virus" ni se van a descargar lol lol :D jaja[/offtopic]

pucha... recien me entero o.O espero no haber sido infectado que estuve jugando un rato en garena y recien leo la noticia:S

O_O omgato ahora solo entrare a las partidas creada por mi papi zickel <3

pd_gracias por el dato buen aporte

tamales, ojala que blizzard solucione todo este asunto lo mas rapido posible.

Gran aporte por cierto.

bueno me paso que fui a jugar en un lan cerca a mi u ( san marcos) y bueno entre a un game y yo tenia el mapa 6:59d pero aparecia que cargaba :S sali de dicha partida y o sorpresa si tenia el mapa me parecia extraño :S y deje que cargue el mapa luego aparecieron dos mapas 6:59d en la carpreta de mapas del wc3 imagino debe ser algo relacionado a tu post bueno espero que no este afectaba esa pc con algun virus aunque debo dcir que dicha partida estuvo xtremadamente lagg...... alamozz =)

que extensión tiene el achivo en cuestión?
w3x? o alguna otra que no es de un mapa de warcraft?

Yo ni estaba enterado de esto... sino me daba una vuelta por aca... pucha xD

Lo bueno es que yo siempre hosteo, nunca me meto al juego de otro xD
(y siempre bajo el mapa del site oficial btw)


Sticky pls ^^

Si alguien usa un protector de sistema en tiempo real como el que incluye el SpybotS&D seria muy conveniente que este sea activado. Gracias por la info.

Cita:

---

Iniciado por Skyline

que extensión tiene el achivo en cuestión?
w3x? o alguna otra que no es de un mapa de warcraft?

Yo ni estaba enterado de esto... sino me daba una vuelta por aca... pucha xD

Lo bueno es que yo siempre hosteo, nunca me meto al juego de otro xD
(y siempre bajo el mapa del site oficial btw)


Sticky pls ^^

---

El exploit en cuestión es incluir código malicioso através de un método descubierto recientemente dentro del código que usualmente se le pone a un mapa común y corriente (que algunos deben ya conocer). Es por eso que el virus es distribuido como un mapa de warcraft (w3m o w3x) y a simple vista inofensivo. El virus se ejecuta una vez que el mapa termina de cargar y empieza el juego.

Por ello es importante ver si es que al unirse a un juego con un mapa ya descargado éste comienze a descargarse, es un mal síntoma. El mapa descargado debe ser borrado inmediatamente.

Cita:

---

Iniciado por FukTheOrder

Si alguien usa un protector de sistema en tiempo real como el que incluye el SpybotS&D seria muy conveniente que este sea activado. Gracias por la info.

---

Hasta el momento solo Comodo Firewall/AV puede detectar la ejecución del código. Blizzard ya se manifestó incluyendo un 'fix' (que por cierto nadie sabe de que se trata) en sus servidores oficiales de B.net. Eso mientras sale un parche que creo será de emergencia.

El problema serán los juegos hosteados en servidores no oficiales (Ombu) y Garena. Y aún cuando salga el parche, dudo mucho que la gente aquí quiera actualizar. Es por eso que es sumamente importante que todos actualizen a la última versión ni bien se haga público el parche.

Cita:

---

Iniciado por -Fnx-EduE

Es por eso que es sumamente importante que todos actualizen a la última versión ni bien se haga público el parche.

---

Tiens muxa razon

Cita:

---

Iniciado por -Fnx-EduE

Hasta el momento solo Comodo Firewall/AV puede detectar la ejecución del código. Blizzard ya se manifestó incluyendo un 'fix' (que por cierto nadie sabe de que se trata) en sus servidores oficiales de B.net. Eso mientras sale un parche que creo será de emergencia.

El problema serán los juegos hosteados en servidores no oficiales (Ombu) y Garena. Y aún cuando salga el parche, dudo mucho que la gente aquí quiera actualizar. Es por eso que es sumamente importante que todos actualizen a la última versión ni bien se haga público el parche.

---

SpybotS&D detecta cualquier aplicacion que quiera hacer cambios en el registro, ademas ya los han notificado y lo incluiran en uno de sus updates. Ya se han enviado muestras a ESET y Kaspersky, respecto a las otras companias, no podria precisar nada. Ahora, investigue, y no era algo dificil de hacer, los mapas de WC3 funcionan como contenedores, dentro de estos se guarda la pantalla de inicio de un mapa, los sonidos que se incluyen, los triggers, etc. Estos hackers vieron que podian incluir codigo malicioso y les resulto, a esperar el nuevo parche para estar totalmente seguros por ahora. Al parecer el objetivo de estos era el robo de cd-keys.

Cita:

---

Iniciado por Skyline

que extensión tiene el achivo en cuestión?
w3x? o alguna otra que no es de un mapa de warcraft?

Yo ni estaba enterado de esto... sino me daba una vuelta por aca... pucha xD

Lo bueno es que yo siempre hosteo, nunca me meto al juego de otro xD
(y siempre bajo el mapa del site oficial btw)


Sticky pls ^^

---

Ojala que no haya pasado nada con mi PC u.u , recien leo esto =) , no acostumbro a visitar web's tan seguidoooooo..

PD : Skyline hostea pa mi peeeeeeeeee :oops:

Cita:

---

Iniciado por FukTheOrder

SpybotS&D detecta cualquier aplicacion que quiera hacer cambios en el registro, ademas ya los han notificado y lo incluiran en uno de sus updates. Ya se han enviado muestras a ESET y Kaspersky, respecto a las otras companias, no podria precisar nada. Ahora, investigue, y no era algo dificil de hacer, los mapas de WC3 funcionan como contenedores, dentro de estos se guarda la pantalla de inicio de un mapa, los sonidos que se incluyen, los triggers, etc. Estos hackers vieron que podian incluir codigo malicioso y les resulto, a esperar el nuevo parche para estar totalmente seguros por ahora. Al parecer el objetivo de estos era el robo de cd-keys.

---

Nope, todo se descubrió de mera casualidad, solo con propósitos 'educativos': al buscar nuevos métodos en el editor, se encontró un bug en el código JASS (algo asi como un lenguaje de programación incluído en el editor) que permitía al usar una determinada función que el código bypassee el check que hace el editor para establecer los límites dentro del cual puede ejecutarse dicho código, resultando en un control ilimitado sobre la memoria. Cuando este método se hizo público y se dieron cuenta de la magnitud de este 'bug', inmediatamente se hizo sonar la alerta en la comunidad.
Y la razón por la que no lo detectan es porque el 'virus' adopta todos los privilegios del programa host (en este caso war3.exe). Debido a que para que warcraft funcione bien debe tener privilegios de administrador, el virus hereda todos estos permisos lo cual dificulta su detección (podría cerrar procesos a voluntad, cambiar registros, etc).

Por otro lado, el que las compañías antivirus incluyan en un futuro su detección ocasionaría muchas alertas falsas, ya que el mismo método (aunque quitandole el control ilimitado) es usado por muchos otros mapas custom; eso sin contar que es difícil detectar dicho virus en tiempo real debido a los métodos que usan los antivirus comunes. Es mucho más factible que Blizzard saque un parche y ellos mismos arreglen su vulnerabilidad.

Obviamente, el robo de CD-keys es solo uno de las tantas consecuencias, ya que un mapa infectado puede incluir literalmente cualquier cosa.

:arrowu: Claro, pero no hablamos de las herramientas de un av, sino de un utilitario que detecta cambios en el registro sean o no del sistema.

Cita:

---

Iniciado por Johao

O_O omgato ahora solo entrare a las partidas creada por mi papi zickel <3

pd_gracias por el dato buen aporte

---

Ya no te acuerdas cuando jugabamos con mi host :cry: , claro ahora que paras en NAIHL ni un dota webeo nos podemos jugar ... :lol:

Y pensar que hoy en el Ombu, al entrar a un partida me salìa descarga del mapa 6.59d, que supuestamente ya lo tenía descargado.. como descargaba lento salí.. espero no se halla infectado la Pc.. :roll:

Cita:

---

Iniciado por -[i]mCharmeleOn

Y pensar que hoy en el Ombu, al entrar a un partida me salìa descarga del mapa 6.59d, que supuestamente ya lo tenía descargado.. como descargaba lento salí.. espero no se halla infectado la Pc.. :roll:

---

Descuida, solo se infecta cuando inicias la partida y el mapa carga por completo.

Dios ! la gente no tiene nada k hacer por la vida, pork nos cag*n asi T_T

blizzard a solucionarlo rapidoooo !

ala mejor hosteo yo x_D

Cita:

---

Iniciado por -Fnx-EduE

Un nuevo exploit esta circulando entre hackers que permiten a un mapa customizado ejecutar código arbitrario en un cliente e instalar troyanos/virus/keyloggers fuera del engine de Warcraft III. Hasta ahora ha atacado juegos públicos en particular; los hackers han creado mapas de dota falsos que usan el mismo nombre y extensión/carpeta que DotA 6.59d, consecuentemente se verá la imagen del mapa en tu lista de custom games y es efectivamente imposible de tomar precauciones en contra, ya que no posee alguna diferencia discernible entre una partida normal y otra infectada. Es por ello que es altamente recomendable que dejen de jugar juegos públicos de dota hasta que blizzard pueda eliminar este exploit. Ellos ya se encuentran enterados de esto.

Ya saben, tengan cuidado al unirse a partidas de terceros. Si bien aún no esté muy difundido en Perú, nadie puede asegurar que personas malintencionadas se hagan de dichos mapas y empiezen a infectarlos.

---

:o y ahora quien podra defendernos???

saben si los juegos q se juegan a travez del channel del clan tda en battle.net hay riesgo de ser infectado tmb? digo si es q pueden pasar la seguridad del bot