IRC: Vorsicht vor //$decode

Die Methode User im Bnet durch Tricks dazu zu bringen selbst ihr Passwort zu verraten ist vielen von Euch bekannt. Vor über einem Jahr tauchte im Chatclient mIRC nun eine vergleichbare Methode auf. Wie Petra_Silie uns vorhin mitteilte scheint es derzeit wieder User zu geben, welche sich folgender Methode bedienen:


Seit einiger Zeit versuchen einige User per „Social Engineering“, Anwender des Chatclients mIRC zu verleiten, ungewollte Kommandos auszuführen — mittlerweile existieren offenbar auch Trojanische Pferde.

Server-Administratoren des EFnet warnen inziwschen vor Nachrichten (/msg), die Chatter dazu auffordern, eine //$decode-Anweisung wie beispielsweise “ //$decode(d3JpdGUgZ29kLmRsbCAkcmVhZCgkc2NyaXB0LG4sMSk=,m) | //$decode(LmxvYWQgLXJzIGdvZC5kbGw=,m)}“ einzugeben. Es handelt sich dabei um uuencode, eine Methode, um Binär-Daten in ASCII umzuwandeln. Die Skriptsprache von mIRC ist äußerst leistungsfähig, über solche //$decode-Anweisungen können DLLs eingebunden und Programme gestartet werden — der Angreifer kann so den Rechner von außen kontrollieren.

Die Administratoren weisen darauf hin, dass es sich um keine Sicherheitslücke in mIRC handelt, sondern vielmehr um unvorsichtige Anwender, die sich das Ei selbst ins Nest legen. Grundsätzlich sollten im IRC keine Befehle ausgeführt werden, die einem von anderen Chattern „aufgeschwatzt“ werden. Die Server-Administratoren bieten ein Web-Interface, zur Übersetzung der //$decode-Anweisungen. (pab/c“t)


Paßt also auch im mIRC auf welche Befehle Ihr eingebt. Weiter Hinweise zu aktuellen Viren, Trojanern und Programmen mit denen Ihre Euren Computer schützen könnt findet Ihr hier in unserem Hilfe-Forum. Vielen Dank noch einmal an Petra_Silie für den entsprechenden Hinweis.