Spelontwikkelaar Blizzard, bekend van spellen zoals World of WarCraft en StarCraft, waarschuwt spelers voor een gevaarlijk Trojaans paard dat accountgegevens steelt. Hoe de Trojan zich verspreidt is nog niet precies bekend, maar mogelijk wordt die via de website Wowhead.com aangeboden.

Dit is een zoekdatabase voor World of WarCraft. Verschillende spelers vertellen op het Blizzard forum hoe ze op de website een bestand dat van Adobe afkomstig leek kregen aangeboden en installeerden. Eenmaal actief onderschept de malware in real-time inloggegevens, ook als spelers een authenticator gebruiken.

Via de authenticator kunnen gebruikers een eenmalige code genereren die bij het inloggen moet worden ingevoerd, net als bij internetbankieren. De authenticator moet juist voorkomen dat het account van de gebruiker wordt gekaapt.

Malware

De malware die nu actief is onderschept ook de code van de authenticator die de gebruiker invoert. Daardoor kunnen de makers van de malware het account van de gebruiker overnemen. Hoeveel spelers al slachtoffer van de Trojan zijn geworden is onbekend, maar een aantal slachtoffers laat weten dat al het virtuele goud van hun account is gestolen nadat ze besmet raakten.

Gebruikers van wie het account is overgenomen krijgen het advies van Blizzard om een MSInfo-bestand te maken en hierin bij het 'Startup Program' gedeelte te zoeken naar "Disker" of "Disker64". De spelontwikkelaar liet in eerste instantie weten dat nog geen enkele virusscanner de malware detecteerde of kon verwijderen, waardoor alleen het opnieuw formatteren van de computer volstond.

Inmiddels zouden echter verschillende exemplaren van de malware, die alleen Windowscomputers infecteert, zijn bemachtigd en gedeeld met anti-virusbedrijven, waardoor het detectiepercentage omhoog is gegaan.