Ciao a tutti,
Abbiamo ricevuto segnalazioni riguardanti un pericoloso trojan utilizzato per compromettere gli account dei giocatori, anche se utilizzano un authenticator per una maggiore sicurezza. Per farlo, il trojan agisce in tempo reale per appropriarsi sia delle informazioni del vostro account sia della password del vostro authenticator nel momento stesso in cui vengono inserite.
Se il vostro account è stato compromesso recentemente, vi consigliamo di controllare che non sia presente questo trojan. È possibile identificarlo creando un file MSInfo e controllando la sezione dei programmi di avvio, cercando "Disker" oppure "Disker64". Solitamente appare in questo modo:
Stiamo ancora raccogliendo informazioni riguardanti questo trojan. Può essere rimosso riformattando il sistema; non abbiamo ancora trovato un modo per rimuoverlo con un programma antivirus.
Se siete stati compromessi recentemente e avete individuato questo trojan nel vostro sistema, per favore rispondete qui con le seguenti informazioni:
Grazie.
Aggiornamento - 05/01
Questo trojan si trova in una versione falsa (ma funzionante) di Curse Client scaricato da una versione fittizia del sito di Curse. Questo sito appariva nelle ricerche per "curse client" con i motori di ricerca più comuni, e questo spiega come i giocatori siano stati attirati lì.
Abbiamo ricevuto segnalazioni riguardanti un pericoloso trojan utilizzato per compromettere gli account dei giocatori, anche se utilizzano un authenticator per una maggiore sicurezza. Per farlo, il trojan agisce in tempo reale per appropriarsi sia delle informazioni del vostro account sia della password del vostro authenticator nel momento stesso in cui vengono inserite.
Se il vostro account è stato compromesso recentemente, vi consigliamo di controllare che non sia presente questo trojan. È possibile identificarlo creando un file MSInfo e controllando la sezione dei programmi di avvio, cercando "Disker" oppure "Disker64". Solitamente appare in questo modo:
Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\Name Startup
Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\Name Startup
Stiamo ancora raccogliendo informazioni riguardanti questo trojan. Può essere rimosso riformattando il sistema; non abbiamo ancora trovato un modo per rimuoverlo con un programma antivirus.
Se siete stati compromessi recentemente e avete individuato questo trojan nel vostro sistema, per favore rispondete qui con le seguenti informazioni:
- Il vostro file MSInfo.
- Una lista completa di tutti gli addon installati recentemente e da dove sono stati presi.
- Una lista di tutti i programmi installati recentemente e la loro provenienza.
- Una lista di programmi di sicurezza che avete usato e i risultati riportati.
Grazie.
Aggiornamento - 05/01
Questo trojan si trova in una versione falsa (ma funzionante) di Curse Client scaricato da una versione fittizia del sito di Curse. Questo sito appariva nelle ricerche per "curse client" con i motori di ricerca più comuni, e questo spiega come i giocatori siano stati attirati lì.
Un metodo confermato per rimuovere il trojan è disinstallare completamente la versione fittizia di Curse Client ed eseguire scansioni con una versione aggiornata di Malwarebytes.
Altri programmi di sicurezza potrebbero essere in grado di individuare e rimuovere il trojan; per favore aggiornateli tramite il sito web del provider del vostro programma, poi eseguite una scansione completa. In caso di dubbi, scaricate ed eseguite Malwarebytes, poiché la scansione con questo programma ha dato risultati confermati.
Se il vostro account è stato compromesso, per favore seguite le istruzioni qui.