Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 155, views: 44.585 •

Beveiligingsfirma Symantec heeft nieuwe malware ontdekt die kwaadaardige code op een bios van de firma Award plaatst. De zogenaamde Trojan.Mebromi hanteert daarbij een tactiek die vooral in de jaren negentig werd toegepast.

Volgens Symantec kan de malware met behulp van een eenvoudige utility een Award-bios flashen. Hierdoor wordt het voor Trojan.Mebromi mogelijk om code te plaatsen in de master boot record waarna de malware in staat is om diverse componenten van Windows te infecteren. De trojan probeert vervolgens data te stelen, zoals wachtwoorden en creditcardgegevens. Bios-chips van andere fabrikanten zouden door de malware met rust worden gelaten.

De aanvalsmethode van de trojan is opvallend, omdat het manipuleren van de bios al geruime tijd niet meer wordt toegepast door malwaremakers. In 1999 wist het zogenaamde Chernobyl-virus, ook bekend als CIH, nog duizenden pc's onbruikbaar te maken door de bios te overschrijven. Ook worden door het Chernobyl-virus de eerste sectoren van de harde schijf vernietigd.

Bios-tool

Reacties (155)

Reactiefilter:-11550150+181+27+30
waarna de malware in staat is om diverse componenten van Windows te infecteren
Hierdoor wordt het voor Trojan.Mebromi mogelijk om code te plaatsen in de master boot record waarna de malware in staat is om diverse componenten van Windows te infecteren.
Rustiger lezen ;)
Er wordt via het BIOS het MBR gehackt maar dat kan ook direct vanuit windows dus zie het nut niet, een beetje omslachtig.
Door het virus in het BIOS te plaatsen overleeft het een herinstallatie van Windows, en zelfs het vervangen van de harde schijf.
Volgende keer wordt het dus ook nog BIOS flashen als er een malware infectie is geweest. Fijn!
welcome to the previous millenium :)

ondertussen zijn er al veel fabrikanten op (U)EFI overgestapt, maar dat wil daarom niet zeggen dat die ook niet geďnfecteerd kan worden. Vroeger moest je nog booten met een diskette of USB-stick om je BIOS te flashen, waardoor het al moeilijker was om hem te infecteren, maar tegenwoordig gaat dat gewoon vanuit windows, dus is het wel makkelijker om hem stiekem te infecteren.
Gelukkig zijn er meerdere bios-versies, waaronder naast de hier aangevallen Award-bios ook Phoenix en Ami (m.n WinAmi was goed) en bios-opvolger EFI (o.a. Mac). Hierdoor zijn er minder systemen kwetsbaar voor dit virus als voor een willekeurig Windows-virus.
Het is een moeilijk te verwijderen springplank naar andere zaken.

Een win-virus is 1x juiste bestandjes en reg-keys verwijderen en je bent ervanaf.
Een bios-virus zet simpelweg bij de volgende boot de bestandjes terug.
Windows-virussen zijn niet altijd zo makkelijk te verwijderen. Soms zijn het duo-processen die lekaar in leven houden, of nestelen ze zich als een onstopbare hidden systeemservice (group policy kun je bijv ook niet stoppen), of als ze admin-rechten ruiken, nestelen ze zich als hidden device driver ergens op een "handige" plek.

De juiste bestandjes en regkeys verwijderen is wel erg simpel gedacht.
Windows verwijderen maakt het virus dan onschadelijk. Misschien een rare manier van denken, maar als het het als probleemstelling met componenten ziet zou je elk component los kunnen nemen en op die manier de meest effectieve oplossing kunnen vinden. Wat je daarna gaat doen is dan weer een ander punt...
Als je gewoon in linux boot kun je de bestanden zo verwijderen...
"gewoon" is voor de meeste gebruikers een mijl op zeven.

Maar dan nog, dan nog moet je geen systeembestanden halsoverkop gaan wegflikkeren, ook niet als ze besmet zijn. Verwijder je svchost.exe maar es, dan kun je Windows opnieuw gaan installeren.
F-secure heeft een gratis bootcd, deze kan je PC dan gewoon scannen, zit zelfs een updater in, die op meeste systemen gewoon werkt. errug handig!
Wat heb je daar aan het BIOS besmetten?
Dat is zo'n beetje de allereerste code die actief wordt. Dat betekent dat alles wat via de BIOS gaat (in de praktijk: zo'n beetje alles) niet meer te vertrouwen is. Een virusscanner die probeert de BIOS te scannen (en daarvoor dus de inhoud van de BIOS uit moet lezen) die kun je gewoon voorliegen over wat erin staat; je laat gewoon de inhoud van een schone BIOS zien en de virusscanner kan je niet detecteren, zelfs als je signature wel bekend is.
Bovendien, bij security geldt dat hoe beter je je verstopt, hoe beter je kansen om te overleven. Door je te verstoppen op een plek waar al twintig jaar niemand zich meer verstopt heeft, ben je behoorlijk goed beschermt (totdat scanners, noodgedwongen, daar ook weer gaan kijken, maar zelfs dan heb je nog steeds het voordeel uit de eerste alinea).
Zo erg als jij het voorstelt is het naar mijn idee nou ook weer niet. Bij computers met een traditioneel BIOS en een modern OS, speelt het BIOS voornamelijk een rol als nog niet alle drivers van het OS geladen zijn.

Zolang een virus dat op het OS zelf draait daar geen stokje voor steekt, zul je het BIOS dus wel gewoon kunnen uitlezen en scannen.
Wat heb je daar aan het BIOS besmetten?
Daar worden toch geen vertrouwelijke gegevens opgeslagen?

Edit: Er wordt via het BIOS het MBR gehackt maar dat kan ook direct vanuit windows dus zie het nut niet, een beetje omslachtig.
lol, hoe komt het dan dat je virus scanner die je in windows installeerd niet de MBR kan testen.....uh..omdat eerst je MBR gelezen wordt voordat welk virusscanner of OS geladen kan worden }:O

[Reactie gewijzigd door IoorLTD op 12 september 2011 20:20]

als dit al in de jaren 90 mogelijk was, vaag ik mij toch af waarom er 20 jaar later nog geen beveiliging is op men MB/BIOS
Die beveiliging is er wel: bijna alle BIOS implementaties hebben een instelling die de flash/EPROM tegen overschrijven beveiligd.
Als dat een beveiliging in de software is, dan heb je er weinig aan! De oude moederborden hadden nog een jumper die je moest omzetten voordat je flash kon updaten. Maarja, dat was niet handig...

[Reactie gewijzigd door ncoesel op 11 september 2011 13:29]

Het is een setting in het CMOS RAM, die door het BIOS bij het booten uitgelezen wordt. Als de setting staat wordt bij het booten het schrijven van BIOS onmogelijk gemaakt door een schakelaar in de hardware om te zetten. Hoe die schakelaar werkt is niet op elk moederbord hetzelfde, ook niet als ze een bios delen.

Wil je er omheen dan moet je het CMOS RAM aanpassen (en weten wel bitje je daar moet hebben, wat ook weer MB specifiek kan zijn), rebooten en dan nogmaals dezelfde machine infecteren. Dat wordt erg complex.

Alleen staat deze setting meestal standaard uit en zet bijna niemand hem aan.
Hallo Brompot578 ,
goede analyse van jou! Kompliment.!!!
Je zegt: "setting staat meestal standaard uit en zet bijna niemand hem aan".
Maar leg mij dan maar eens uit stap voor stap hoe IK hem WEL AANZET.! 8)7 O+
M. Vr. Gr. Peoj
Ik mis ergens iets. Hoe kan software "een schakelaar in de hardware omzetten"?

Overigens mag je m'n vraag als rethorisch beschouwen en het antwoord achterwege laten. Hardware die je met software kan manipuleren (even ervan uitgaande dat je geen echte schakelaar bedoelt, dat kan sowieso niet), kan je behalve uit- ook net zo goed aanzetten.
met die verstande dat nadat je het hebt uitgezet, en daarna weer aan, opnieuw de "aangepaste" hardware uitgelezen wordt....dus uitzetten heeft geen effect. Uitzetten en weer flashen bij het aanzetten is dan de enige mogelijkheid
Dan moet je eerst nog om die check heen werken. Als je aan het BIOS vraagt "ga eens flashen" en het BIOS zegt "nee", wat ga je dan doen? Je hebt als het goed is geen directe toegang tot de EEPROM, maar moet dat altijd via het BIOS. Anders zou zo'n beveiliging inderdaad zinloos zijn.
je kun gewoon vanuit windows met winflash flashen,dus kan een virus dat ook.moet wel de checksum kloppend gemaakt worden voor die bios.

heb wel een keer een virus in het mbr gehad,sta je raar te kijken als je na een format/clean install ineens weer het virus opduikt :o
Lezen. Het gaat erom dat ieder BIOS een beveiliging heeft om een software-flash tegen te gaan, dus flashen vanuit Windows is dan simpelweg onmogelijk. Een virus zal het dan ook erg moeilijk hebben.
@MuSScHeJ:
Het BIOS is qua ontwikkeling al lang dood, en opgevolgd door de superieure EFI. Echter zijn er nog veel fabrikanten die een PC met BIOS leveren.
als dit al in de jaren 90 mogelijk was, vaag ik mij toch af waarom er 20 jaar later nog geen beveiliging is op men MB/BIOS
Er zijn tegenwoordig ook een aantal moederborden die een dubbele ("CrashFree") BIOS hebben. Is je eerste BIOS dus dood, dan schakel je over naar de reserve-BIOS die op het moederbord zit en die niet overschreven kan worden.

Vooral op de overklokkers-borden wordt het nogal eens gedaan omdat sommige instellingen niet meer in software te resetten zijn als je bak helemaal niet meer opstart ;)... maar een waterdichte bescherming tegen BIOS-virussen is het in principe ook.
Ik kwam toevallig laatst in mijn BIOS een antivirus-functie tegen. Zou dat tegen dit soort malware beschermen?
Da's meer om te voorkomen dat de eerste sectoren/MBR van de harddisk worden overschreven meen ik.
Maar het gaat hier toch juist om het Master Boot Record?
voor Trojan.Mebromi mogelijk om code te plaatsen in de master boot record
Ja, maar het virus besmet primair het BIOS zélf, en daarna pas de MBR dus. Als het BIOS word besmet mag je er ook vanuit gaan de antivirus-functionaliteit ervan word disabled door het virus ;)

Sowieso stellen die "antivirus"-beveiligingen in een BIOS niet veel voor, het is zo basic als je het maar krijgen kunt.
Die beveiliging tegen het overschrijven van het MBR werkt enkel in (sommige) bootloaders en in MS-DOS en zo; Windows, Linux & andere moderne OS'en gebruiken immers het BIOS niet om naar de harde schijf te schrijven...
Low level gaat toch alles nog steeds via het BIOS? Anders zouden we geen BIOS meer in een systeem nodig hebben.
Nope. Alleen bij de eerste start, maar zodra het systeem eigen drivers geladen heeft, is dat niet meer nodig.
Het BIOS hebben we nodig om het OS te laden, verder inderdaad niet. In elk geval als je uitgaat van een modern OS. Ik heb zelf nog vaak genoeg dingen met BIOS-calls erin geschreven, maar dat was dan wel onder DOS en zelfs daar deed je bij voorkeur de dingen via de DOS-API (die dan al dan niet zelf van het BIOS gebruik maakte).
Wat hier nog wel bij vermeld moet worden is dat wanneer de gebruiker het virus activeert, het virus vraagt of de gebruiker zijn antivirusprogramma wil deactiveren. Dan zouden toch wel alle alarmbellen moeten gaan rinkelen.
De malware doet zich volgens het Chinese 360 Security voor als een "game plug-in" en zou gebruikers vragen om hun virusscanner uit te schakelen. Eenmaal actief infecteert de malware de BIOS, de MBR van de harde schijf en Windows, waarna het aanvullende malware downloadt. Mebromi richt zich alleen op systemen met een Award BIOS.
http://www.security.nl/ar...cteert_computer_BIOS.html
Ik verbaas mij er nog steeds over hoeveel legitieme software bij setup vraagt om je virusscanner even te disablen. Als dat normaal gevonden wordt, dan doet de gebruiker dat dus ook bij minder aardige software.
Nou, probeer jij eens een Canon of Epson all-in-one op een draadloos netwerk te installeren, met een McAfee of Norton AV / Firewall geďnstalleerd. De printerdata laten ze wel door, maar de scannerdata niet.

Canon en Epson kunnen je (uiteraard) niet vertellen hoe je die programma's configureert omdat ze niks ervanaf weten. McAfee en Norton kunnen (of willen) het ook niet uitzoeken, omdat ze niets van de data van de Canon en Epson drivers afweten. De data wordt dus geblokkeerd, maar niemand weet hoe je hem deblokkeert behalve door een bepaalde functie uit te zetten in de firewall (ik ben effe vergeten welke...)

Dus ja, mensen vinden het wel normaal als een programma vraagt "schakel je AV / Firewall effe uit tijdens de installatie".
Een firewall is niet hetzelfde als een virusscanner, en dienen feitelijk ook niet in dezelfde zin gebruikt te worden. Aangehaalde software is alleen met een virusscanner en/of anti-malware pakket te herkennen en te verwijderen.

Een firewall (software) kan weliswaar verkeer blokkeren op LAN en WAN niveau, maar meestal is dat niet op poort 80 (HTTP) gebaseerd omdat er anders wel erg veel fout gaat.
Ik ben verder ook van mening dat een soft-firewall meer kwaad doet dan goed, een goede router met ingebouwde dito firewall is genoeg.

Anti-virus daarentegen is wél belangrijk (Windows) en dient niet uitgezet te worden. Ken ook geen software die dat verlangt, of het moeten cracks van programma's zijn..maar dan heb je de poppen ook al aan het dansen :)
Dat kun je wel zeggen Mils, maar er is voldoende software die hierom vraagt. Vooral drivers / software van oudere USB apparatuur hebben hier een handje van.

Verder is het natuurlijk vaak zo dat wat ingewikkeldere cracks (denk aan de illegale software gereleased door AiR, die emuleert vaak een USB auth dongle) het ook nodig hebben dat de antivir uitstaat. Niet heel gek dus, en voor een ongetrainde gebruiker zeker geen reden voor alarmbellen, per definitie.
Ongetrainde gebruikers die cracks gebruiken... tja.. Die wens ik veel plezier met hun geinfecteerde PC ;) Als je ervoor kiest om warez te gebruiken, kies je ook bewust voor de bijkomende risico's en is het ook je eigen verantwoordelijkheid om je kennis op peil te brengen/houden.

(Daarnaast zijn er uiteraard hele volksstammen met 'OK-klikkers' ;) )
Het valt mij vervolgens weer op dat het nog nooit echt nodig is geweest om je virusscanner uit te zetten. Ik krijg ook wel eens zo'n melding, maar ik heb het nog nooit gedaan en het heeft nog nooit een probleem opgeleverd eigenlijk.
Als je dat binnenkrijgt ben je dus wel erg ver van huis. Maar omdat deze methode vooral in de jaren 90 werd gebruikt neem ik aan dat de Mobo's van nu er gewoon tegen beschermd zijn?
Nee dus, alleen moederborden met een BIOS van een ander merk dan Award zijn niet kwetsbaar voor dit virus (maar mogelijk niet tegen andere, soortgelijke, virussen).

Dit virus richt zich specifiek op moederborden met een Award-BIOS, en volgens mij zijn dat de meeste consumenten-bordjes tegenwoordig (AMI en Phoenix zie je niet zo gek veel meer tegenwoordig volgens mij).
Ok, dus als je een Award-BIOS hebt moet je dus oppassen.

BTW AMI wordt nog wel gebruikt. Heb net mijn Mobo opgezocht en daar stond bij de specs: 8MB AMI Legal BIOS. Is een ASRock, dus misschien dat ASRock nog op AMI zit?
Phoenix is volgens mij opgekocht door AMI, of Award, maar ik weet dat niet zeker meer, eerlijk gezegd. In elk geval bevat mijn Asus P5Q bord een BIOS van AMI (American Megatrends Inc). Het is een bord uit 2008 overigens.

[Reactie gewijzigd door Katsunami op 11 september 2011 16:16]

volgens de site van phoenix zelf staat er niet te lezen over een of andere overname.
met een copyright van 2011 lijkt mij dat de pagina wel up2date is.
Er zijn al zat non-apple PC's met EFI bios ook hoor ;)
Klopt helemaal, het was slechts als voorbeeld bedoeld.
Er zijn al zat non-apple PC's met EFI bios ook hoor
Klopt, die zijn er, en Windows7 werkt er ook prima op!
Echter er zijn nog steeds veel (goedkope) PC's die een BIOS hebben. Apple's met een BIOS bestaan niet (alleen BootCamp emuleert een BIOS ivm de XP compatibiliteit).
Echter er zijn nog steeds veel (goedkope) PC's die een BIOS hebben.
Goekopere en oudere... Ik heb niet bepaald goedkope hardware maar wel BIOS ;)

Maagoed een virusje meer of minder maakt mij niet bang :) Niet echt een rede dus om me mobo om te ruilen met het geweldige EFI (waar je veel meer mee kan als je er misbruik van kan maken) :)
(U)EFI zou zelfs gevaarlijker zijn met deze methode van aanvallen. Je kunt meer geavanceerde code gebruiken, hebt meer mogelijkheden en je hebt 1 standaard. Nu is het alleen Award (en dan ook nog niet eens alle versies van Award).

Stel gewoon een wachtwoord in op je BIOS (of UEFI) en de standaard command line tooltjes kunnen niks aanpassen.

Ik schrijf bijvoorbeeld het bedrijfslogo over de bestaande HP logo's, schakel disk encryptie in, wipe de disks in nieuw geleverde systemen en dat allemaal door gebruik te maken van (U)EFI. Toen we nog traditionele BIOS systemen hadden was het per model soms anders.
Ik heb gelukkig altijd een bios chip schijver liggen, chipje er uit en evt nieuwe er in met nieuw bios en klaar.
Maar daar heb je je data niet mee terug, en daar zit em nou net de waarde in. Sowieso, totdat je dit pokkeding vangt, gaat ie er met je creditcardgegevens etc vandoor, en dan is het leed al geschied. Dit soort virussen moet je bij de poort opvangen en vriendelijk naar /dev/null/ escorteren.
Het Chernobyl-virus had een vreemde eigenschap, die dit nieuwe virus vast niet heeft: het werd alleen actief op de 26e van elke maand. In 1999 ontdekte ik het zelf op m'n pc... op de 25e. Dat was dus even flink zweten, ook omdat het verwijderen ingewikkeld was, maar eigenlijk ben ik de maker(s) half dankbaar dat er een 'timer' in het product zat. Het nut of de bedoeling ervan snap ik alleen nog steeds niet. Iemand daar ideeën over?
De Chernobyl-ramp vond plaats op 26 april 1986.
Het Chernobyl-virus had een vreemde eigenschap, die dit nieuwe virus vast niet heeft: het werd alleen actief op de 26e van elke maand.
Dat was één variant. Er zijn ook varianten van CIH die op 26 april, 26 juni of 2 augustus actief worden, en één variant word op de 26e van elke maand actief zoals je al aangeeft.

Dit nieuwe virus heeft inderdaad geen dergelijke restrictie, het kan op elk moment activeren.

En het heet Chernobyl omdat de oorspronkelijke variant actief werd op 26 april. De dag van de Chernobylramp (in 1986 dus).

[Reactie gewijzigd door wildhagen op 11 september 2011 13:41]

De kernramp in Chernobyl vond plaats op 26 April. Lijkt me een logisch verband..
http://nl.wikipedia.org/wiki/Kernramp_van_Tsjernobyl
Computer uitzetten en de 27ste weer aan doen? ;)
Het Chernobyl-virus had een vreemde eigenschap, die dit nieuwe virus vast niet heeft: het werd alleen actief op de 26e van elke maand. In 1999 ontdekte ik het zelf op m'n pc... op de 25e. Dat was dus even flink zweten, ook omdat het verwijderen ingewikkeld was,
BIOS klok paar dagen terug zetten en je had de tijd gehad.
Helaas blijven mensen denken dat een apple computer onschendbaar is. Elke apparaat kan worden besmet met malware. Vaak is hier wel een verbinding nodig met internet maar theoretisch gezien, kan elk lullig apparaat met een processor erin misbruikt worden!

On-topic:

Jammer dat symantec niet vermeld hoe mensen deze malware binnen krijgen! Gaat het hier echt daadwerkelijk om mensen die het slachtoffer zijn geworden doordat ze dachten goede software te downloaden?

Stel deze malware verspreid zichzelf als goede software dus bijv doormiddel van bekende freeware programma's (winrar etc) dan is deze ontwikkeling best zorgelijk en zullen we alerter moeten worden voordat we elke waarschuwings schermpje weer wegklikken..
Wat zou windows hieraan moeten doen?
Zorgen dat de bios niet meer geflashed kan worden vanuit hun OS?
Bijna iedere moederbord-fabrikant levert deze tooltjes voor windows!

Daarnaast vergelijk je firmware (apple's eigen bios, EFI) met sotware (Windows).
Kun je ook een voorbeeld geven waaruit blijkt dat Apple zijn firmware-problemen snel oplost? Ik herinner me namelijk nog wel een aantal problemen die meer dan 1 patch kostte om bijvoorbeeld een flikkerend scherm van de imac op te lossen...

Apple vs. Windows is een discussie die eens met rust gelaten moet worden.
Apple doet het misschien iets beter dan Windows, maar dat is ook logisch; zij werken met gestandaardiseerde hardware en geloof me, dat is VEEL makkelijker dan een compatible OS als Windows te schrijven.

Echte tweakers tweaken en zetten de mogelijkheid tot flashen gewoon uit...

[Reactie gewijzigd door ChaoZero op 11 september 2011 18:27]

Dat is ook niet zo heel gek. Windows is nog steeds het meest gebruikt. Hoewel de apple flink in opkomst is. Maar om dan hier maar gelijk de fanboy van apple uit te gaan hangen, dat slaat natuurlijk weer nergens op. Je kunt wachten er op wachten dat in apple producten ook lekken worden ontdekt.
Dat er veel virussen voor Windows zijn wil nog niet zeggen dat het onveiliger is. Het zegt alleen dat het onveiliger kan zijn. Dit is volledig afhankelijk van hoe je er mee omgaat.

Er is nou eenmaal gigantisch veel te krijgen voor Windows, zowel legaal als illegaal. Die vrijheid heb je (nog) niet op een Mac, daar is het aanbod relatief gezien behoorlijk beperkt. Dus het is gewoon de bekende kwestie van veiligheid vs vrijheid. Welke is beter? Dat ligt helemaal aan jezelf.. Als je op een Windows machine gewoon niets raars doet, geen illegale software draait, of je laat afleiden door spiegeltjes en kraaltjes in je mailbox ben je gewoon veilig.

Het is dus gewoon wat je wil: beschermd worden door je OS fabrikant met alle bijkomende beperkingen (wat grotendeels security though obscurity is), of de vrijheid kiezen en zelf die verantwoordelijkheid nemen, en op dus op blaren zitten als je risico's neemt.

Er zijn virussen ja, maar vrijwel alleen een gevaar voor de mensen die de dingen doen die je op de veiligere OSsen niet eens kan doen.
Winrar is geen freeware :+
Dat is 1 van de redenen waarom ik een Mac heb ; )
Daar dacht ik ook aan. Maar volgens mij is het in theorie net zo goed mogelijk - en zelfs handiger/makkelijker en functioneler - om dit op EFI los te laten. Laten we wel wezen, EFI is veel krachtiger dan BIOS, en is tot veel meer functionaliteit in staat. Op onze Mac's wordt die tegenwoordig gebruikt om de recovery te booten (sinds OS X Lion), maar het is triviaal om daar een virus bij te mikken.
Toch straf dat ik juist vande Mac gebruikers hun persoonlijke e-mailadressen de meeste spam aankrijg. Die hele onschendbare levensstijl gaat nog eens serieus backfiren.
Heeft er waarschijnlijk mee te maken dat veel Mac gebruikers geen antivirusprogramma's oid hebben. Wanneer een Mac gebruiker een besmette e-mail binnenkrijgt van een Windows gebruiker is er geen antivirusprogramma om hem/haar daarvoor te waarschuwen, de e-mail wordt vervolgens weer doorgestuurd naar Windows gebruikers die daar dan dus weer problemen van kunnen ondervinden.

Ik werk zelf het meeste op een Macbook Pro, en heb een tijd een virus/malware -scanner gebruikt met als enige reden om geen virus/malware naar Windows gebruikers te sturen. Ben er uiteindelijk mee gestopt omdat ik geen voor mij onnodige software wil draaien.

edit; typo

[Reactie gewijzigd door puredynamite op 11 september 2011 15:39]

Ik denk, en dan wil ik echt niet flamen, dat meer komt door de doelgroep van Apple.

Veelal onervaren computergebruikers die het gemak van een Mac maar al te prettig vinden, en daardoor overstappen op OSX. An sich natuurlijk helemaal prima, maar áls het een keer fout gaat zal het bij een hele grote groep fout gaan.

Nu er her en der veel mensen op Apple overstappen zal de tijd komen dat ook zij eraan zullen moeten geloven. Juist deze onervaren mensen zonder AV en zonder technische kennis zullen het slachtoffer worden van een evt. aanval op hun systeem en OS.
Een Windows virus kan niks uitvoeren opmeet OSX! Leren we niks meer op school tegenwoordig??????
Een Windows virus kan niks uitvoeren opmeet OSX! Leren we niks meer op school tegenwoordig??????
een VB Macrovirus in Word/Excel in principe wel :)

ook is er al eens een proof of concept virus geweest die een dual-payload had. 1 voor ieder OS. Het andere OS in die situatie was Linux, maar het is alles behalve ondenkbaar dat een dergelijk mechanisme niet voor ieder willekeurig OS, inclusief m'n altijd favoriete OS X, zou werken.

[Reactie gewijzigd door arjankoole op 12 september 2011 08:28]

Proof of Concepts roepen ze al jaren maar nog steeds niet in het wild.
Zoals ik aangeef een windows-virus kan niks op een Mac uitvoeren.

Een .exe/.bat/.com kan niet opgestart worden.
Daarbij ook al als er een virus zou zijn kan hij geen gebruik maken van root-rechten en zichzelf niet verspreiden.

Een VB Macrovirus kan ook niks op mijn Mac uitvreten ... ik gebruik geen MS Office of applicaties die macro's ondersteunen.
m.a.w. dat kun je dus voor elk OS zeggen met een apllicatie oid wat er dus NIET op thuis hoort laat staan te draaien is...he..mijn android app... doet het niet op mijn windows bak...duh.... :O
Een Windows virus kan niks uitvoeren opmeet OSX! Leren we niks meer op school tegenwoordig??????
Met Java en .Net zijn meer dan genoeg lelijke dingen te doen hoor en dat draait prima op OSX. Frameworks en runtimes zijn vaker wel dan niet al aanwezig en als het toch iets is wat de gebruiker vrijwillig installeert is het een koud kunstje om ze gewoon even te downloaden.

De enige collega die ik heb die altijd rommel op zijn laptop heeft is de Mac devoot. Zo overtuigd van de schijnveiligheid van zijn MacBook met OSX dat hij niet te overtuigen is dat een antivirus en antimalware echt geen overbodig iets meer zijn. Ik weet dat het een stereotype is maar het is in zijn geval wel de waarheid.
goh ... vreemd ik in al die jaren nog geen enkel virus heb gehad.
Maar een windows virus van .com/.bat of .exe kan echt helemaal geen mallemoer uithalen op de Mac.

Je collega zal wellicht op elke laptop een zootje er dan van maken ... maar dat is nog steeds niet een virus wat uit zichzelf verspreid en daar zit een wezenlijk verschil.

Je kan moeilijk OSX/Apple de schuld gaan geven als hij niet weet hoe hij met een computer moet omgaan. Dan zal je hem een cursus moeten bieden.
Uiteraard kan je niet een OS de schuld geven van een pebkac.

Maar dat neemt niet weg dat een .jar of .pe net zo gevaarlijk kan zijn voor OSX als voor WNT. Helemaal als de machine in kwestie wordt gebruikt door iemand die overal klakkeloos Ok klikt.

Overigens heb ik op windows ook in geen jaren meer een virus gehad, als je weet wat je doet zijn de risico's redelijk klein en dan maakt het OS niet zo heel veel verschil. Al zal een niche OS minder onder vuur komen te liggen dan een bijna-monopolist.
Wat een onzin ... Alsof je kan zien dat het van Mac gebruikers komt!
Toch straf dat ik juist vande Mac gebruikers hun persoonlijke e-mailadressen de meeste spam aankrijg. Die hele onschendbare levensstijl gaat nog eens serieus backfiren.
Spam/virussen versturen _nooit_ met de afzender van het systeem waar ze op staan. Ze willen namelijk niet gedetecteerd kunnen worden. Wat ze doorgaans doen is uit het adressenboek een random emailadres pakken, en als dat emailadres mailen.

Ook de headers van een dergelijk mailtje zijn altijd zwaar gefingeerd, ze doen zich al jaren en jaren voor als Outlook, Thunderbird and what not.

Het enige waar je enige waarde aan kunt stellen zijn de Received headers van zo'n mailtje, en zelfs daar proppen ze vaak een paar valse tussen in de hoop je op een dwaalspoor te brengen.
Bij een MAC is een virus als dit juist de optimale manier om binnen te komen. Het EFI-BIOS is veel krachtiger, en het OS zelf beter dichtgetimmerd. Stel je dus voor dat je als virus in een vrij krachtige BIOS-omgeving kunt draaien en daarmee dus ook grote invloed op het OS kunt uitoefenen. Het relatief veilige OS is opeens niet zo veilig meer...
Je kunt je bios eenvoudig beveiligen tegen wijzigingen met een wachtwoord. Dat is een van de eerste dingen die ik altijd doe bij een nieuwe pc, of als ik er een onder handen neem. Ik vraag me af of dat virus dan nog wijzigingen kan maken.
ja want voor flashen is geen wachtwoord nodig, dat wachtwoord is enkel om bios veranderingen per menu te voorkomen.

edit:
vroeg me al een poosje af hoe lang het nog zou duren voor er iemand wat in DMI zou verstoppen, want naast een slic table kan er nog veel meer in...

[Reactie gewijzigd door Dark op 11 september 2011 14:10]

Dat verschilt per merk moederbord of laptop. Probeer het maar eens met een IBM Thinkbook. Die slaat het wachtwoord in een andere chip op.

Als je die wilt flashen (of als je instellingen wilt wijzigen) en je bent het wachtwoord kwijt dan heeft IBM geen andere keus dan het moederbord te vervangen.

(Sommige van die chips waren uit te lezen met trucs (draadjes op bepaalde pinnen solderen en dan uitlezen via een COM poort)..maar die werken volgens mij allang niet meer)
Correctie: jij hebt geen andere keus dan het moederbord vervangen. IBM zal gewoon een bijelkaar horend setje chips plaatsen.
Beetje laat..maar voor zover ik weet plaatsen ze gewoon een nieuw moederbord. Of zij die chip dan weer vervangen is een tweede, maar je betaald voor een nieuwe moederbord.
Dan kan je de BIOS settings niet meer wijzigen via de BIOS setup utility. Ik weet niet of dat voorkomt dat de BIOS software zélf overschreven wordt.. daar is doorgaans een andere BIOS-instelling voor.

Op dit item kan niet meer gereageerd worden.