Dell waarschuwt voor malware op PowerEdge-moederborden

Dell heeft aangegeven dat een flashchip op de moederborden van zijn PowerEdge-servers mogelijk malware bevat. Het gaat om een klein aantal borden, die zijn gebruikt om defecte exemplaren te vervangen.

Het gaat om vervangende moederborden van vier typen PowerEdge-servers: de R310, R410, R510 en T410. Al deze moederborden bevatten een flashchip, die bij een aantal vervangexemplaren met de malware W32.Spybot.worm geïnfecteerd is geraakt. Volgens Dell is maximaal 1 procent van de eerdergenoemde typen besmet geraakt.

Alleen klanten die Windows draaien, zijn vatbaar voor de malware en dan enkel als de programma's Unified Server Configurator (USC) of 32-bit Diagnostics worden gebruikt. Daarbij zouden alle gangbare beveiligingspakketten het virus kunnen herkennen en blokkeren, aldus de fabrikant.

Dell geeft aan alle besmette borden uit de roulatie te hebben genomen. Momenteel neemt het bedrijf met alle klanten die mogelijk een geïnfecteerd bord geleverd hebben gekregen telefonisch contact op om het probleem op te lossen. Dell heeft niet laten weten hoe de malware op de moederborden is terechtgekomen.

Reacties (39)

wildhagen

Malware

22 juli 2010 13:18

Waarom controleert Dell niet of er malware in zit? Als alle scanners het naar eigen zeggen herkennen, had dit toch al opgemerkt moeten worden voor ze de fabriek verlieten?

Sowieso, hoe komt dit virus hier op? Dit moet haast wel een inside job geweest zijn?

Relief2009 @wildhagen • 22 juli 2010 13:25

Moederborden worden door bedrijven als asustek en foxconn gemaakt. Daar heb je dus geen zicht op als bedrijf. Je moet dus erop vetrouwen dat je leverancier zijn werk goed doet. En fouten kunnen gebeuren. En weet je wel hoeveel het tijd kost om elke computer te scannen. Tijd is geld!

stappel_ @Relief2009 • 22 juli 2010 13:37

het gaat hier om refurbishede moederborden, die komen via een reparatie bedrijf terug.

Decipher666 @stappel_ • 22 juli 2010 14:29

Het hoeven niet per se gerefurbishede borden zijn er staat alleen dat ze als vervanger zijn geplaatst dus kunnen ook nieuwe zijn:

Het gaat om een klein aantal borden, die zijn gebruikt om defecte exemplaren te vervangen.

appel437 @Relief2009 • 23 juli 2010 13:12

daarbij komt dat Dell een (weliswaar consumenten-) computer binnen 3 minuten bouwt! althans dat heb ik hier ooit op tweakers.net gelezen.
iets met stickers...

Mathijs @wildhagen • 22 juli 2010 13:22

Zo'n moederbord krijgt geen windows voordat ze de fabriek verlaten. Dat is dus niet zo vreemd. Dat het een inside job betreft is vrijwel zeker, daar zullen ze echt wel een onderzoek naar doen.
Daarover hoeven ze natuurlijk niet naar de buitenwereld te communiceren.

O085105116N @Mathijs • 22 juli 2010 13:30

Een inside job van wie? De chipbakker, de mobo fabrikant of Dell zelf? Dell heeft er goed op gereageerd in mijn optiek.

Ik lees tegenwoordig vaker van dit soort berichten, laatst een batch samsung telefoons.

(wat bizkit 29 dus zegt)

[Reactie gewijzigd door O085105116N op 23 juli 2024 22:19]

mad_max234 @Mathijs • 22 juli 2010 15:08

Zo'n moederbord krijgt geen windows voordat ze de fabriek verlaten. Dat is dus niet zo vreemd. Dat het een inside job betreft is vrijwel zeker, daar zullen ze echt wel een onderzoek naar doen.
Daarover hoeven ze natuurlijk niet naar de buitenwereld te communiceren.

De fash file heeft wel op een pc gestaan, en die had wellicht wel windows.

Of iemand heeft thuis nog wat doorgewerkt aan zijn project, of, of ,etc. Er zijn zat mogelijkheden te bedenken waardoor zoiets kan komen, je kan dus niet een conclusie trekken zonder er iets vanaf te weten, waar het bestand is geweest en op welke machine ze allemaal hebben gestaan.

Verwijderd @wildhagen • 22 juli 2010 14:14

Toen ik een paar jaar geleden mijn laptop scherm bij Dell liet repareren, werd er inderdaad ook gelijk een uitgebreide virusscan gedaan, en gekeken of de firmware up to date was... Misschien dat ze dat niet meer doen, of niet bij bedrijfs computers... Maar een inside job zou me ook niet verbazen...

WPN @Verwijderd • 22 juli 2010 14:35

er is een verschil tussen een virusscan doen op een harddisk van een laptop met een windows os en een virus dat geinstalleerd staat op een flashchip dat alleen actief wordt als er specifieke software gedraait wordt.....

waarschijnljik spreekt alleen die specifieke software die chip aan waardoor de malware uitgelezen wordt en dus actief kan worden.....

in principe zouden ze alleen de flashchips moeten scannen in de fabriek...

_JGC_ @Verwijderd • 22 juli 2010 23:16

Toen ik bij een terminal server het moederbord liet vervangen ivm bolle elco's werd alleen de service tag weer teruggezet met een of ander DOS tooltje, daarna werd de server weer geboot en ging de monteur weg. Niks virusscannen, een bedrijf hoort zelf zijn zooi voorelkaar te hebben.

Blokker_1999

Malware

@wildhagen • 22 juli 2010 13:20

Je kan niet alles controleren. Aangezien het om geswapte moederborden gaat is de malware pas op een latere batch van de borden gekomen. Je gaat niet elk bord dat van de productie komt op alle mogelijke manieren testen. Je gaat gewoon na of ze goed functioneren./

Player1S @wildhagen • 22 juli 2010 13:21

steekproefgewijs zullen ze heus wel de borden controleren maar om elk bord afzonderlijk te controleren zou de prijs enorm opschroeven.

Brantje 22 juli 2010 13:20

In 1 woord: Slordig.

Als je een server/laptop/etc gerepareerd heb, dan draai je toch over het algemeen een test om te kijken of alles correct werkt?
Als ze dat gedaan hadden dan zou zoiets toch wel aan het licht gekomen zijn?

Dell heeft niet laten weten hoe de malware op de moederborden is terechtgekomen.

Misschien dat daar nu een medewerker een paar ton rijker is

Verwijderd @Brantje • 22 juli 2010 13:30

Als je een server/laptop/etc gerepareerd heb, dan draai je toch over het algemeen een test om te kijken of alles correct werkt?

Dus als jij een mobo van een Linux server vervangt instaleer jij Windows en doet een virusscan? Of ander gezegt heb je OOIT een virusscan gedaan omdat je een mobo hebt vervangen? Ik niet.

wildhagen

Malware

@Verwijderd • 22 juli 2010 13:38

Hiervoor word over het algemeen een Live-CD gebruikt, met allerlei (test)tooling. En die kan van alles draaien, dus ook Windows, ongeacht was er in de dagelijkse praktijk op die server draait.

Verwijderd @wildhagen • 22 juli 2010 15:13

Kom op, zeg nou eerlijk: je verwacht gewoon dat er in de fabriek geen geïnfecteerde chip in je moederbord zit.

Als je op elk mobo swap al deze tests op loslaat dan is de support per direct onbetaalbaar. Een nieuw mobo kost 100-500$ en dan zou je 1000$ kwijt zijn aan uren om van alles en nog wat te testen. Compleet onrealistisch.

Nee, Dell zal een onderzoek instellen naar hoe malware op hun chip kan geraken en daar tegenmaatregelen tegen treffen.

Anders zou een automonteur bij elke vervanging van een dragend onderdeel van een auto een ultrasoon scan moeten doen of er geen haarscheurtjes in het laswerk zitten. Dat doen ze ook niet omdat je er vanuit mag gaan dat dat gewoon goed gemaakt is in de fabriek.

Blokker_1999

Malware

@Brantje • 22 juli 2010 13:22

En wie zegt dat ze 1 van die 2 softwarepakketten gebruiken bij het testen? Ze kunnen evengoed een eigen livecd hebben die wat testen uitvoert onder linux om na te gaan of alles werkt.

wildhagen

Malware

@Blokker_1999 • 22 juli 2010 13:25

En wie zegt dat ze 1 van die 2 softwarepakketten gebruiken bij het testen?

Het zijn hun eigen, door Dell geschreven, softwarepakketten. Lijkt me dus niet zo'n onredelijke aanname dat ze die gebruiken.

Dat is immers ook de software die ze hun klanten aanraden als eerste te draaien als er problemen met de server zijn.

Zou dan wat vreemd zijn als ze zelf die tools niet zouden gebruiken, al is het maar om een baseline te krijgen.

[Reactie gewijzigd door wildhagen op 23 juli 2024 22:19]

jacket13 @Brantje • 22 juli 2010 13:26

zoals blokker zegt, beetje onrealistisch ze dit aan te merken omdat het malware echt maar op kleine dingetjes reageert en daarnaast zijn de tests ook zinloos als de tester de "culprit" blijkt te zijn.

i-chat @Brantje • 22 juli 2010 14:27

hier zat het vierus op het mobo, (dus op het geprogrammeerde deel van een chip) - denk je nu echt dat als dell een mobo vervangt ze die eerst in een server config gaan hangen om vervolgens windows te installeren en er spybotS&D op draaien,

dacht het dus eff niet...

WPN @Brantje • 22 juli 2010 14:37

houdt er ook eens rekening mee dat de malware op een flashchip staat.....
dit houdt in dat een reguliere virusscanner dit niet uitleest en dus ook de malware niet zo snel zal vinden gezien deze alleen de HD en het geheugen checked
mits dat deze chip onderdeel zou zijn van het geheugen wordt de malware dus niet gevonden...
daarnaast wordt de malware pas actief als er 2 hele specifieke applicaties gedraait worden.....

bogy 22 juli 2010 13:19

alle grote bedrijven die zulke dingen hebben staan draaien normaal toch wel een antivirus neem ik aan ... en anders draaien die dingen wel in cluster onder linux ofzo...

Voor dell te hopen dat ze geen grote schadeclaims aan hun broek hebben....

Kees BOFH

Servers

@bogy • 22 juli 2010 13:28

Hangt van de taak en exposure van de server af. Een beetje server kan niet zomaar geinfecteerd worden, dus een virusscanner is volkomen overbodig.

Bijvoorbeeld een databaseserver waar alleen administrators toegang to hebben en waar andere servers gegevens vandaan halen, daar wil je geen virusscanner op hebben draaien, dat beinvloed de performance alleen maar negatief.

mad_max234 @bogy • 22 juli 2010 15:16

alle grote bedrijven die zulke dingen hebben staan draaien normaal toch wel een antivirus neem ik aan ... en anders draaien die dingen wel in cluster onder linux ofzo...

Voor dell te hopen dat ze geen grote schadeclaims aan hun broek hebben....

Ken jij een antivirussoftware die alles tegenhoud dan, totaal geen garantie een ant virus, is schijn veiligheid. Glippen duizenden virussen en spyware elke minuut door virusscanner heen. Al lijkt me dat dit bestand toch wel herkend behoort te worden, maar wellicht was de virusscanner al niet meer goed door een andere virus die de scanner heeft gestopt of helemaal onklaar heeft gemaakt, gebruiker merkt daar niet altijd iets van. Maar zijn zoveel scenario te bedenken, dit is er maar eentje van en is zelfs niet heel erg ver gezocht, is mij al meerdere keren overkomen dat norton of mcfee totaal onklaar waren gemaakt voor een virus.

Lyon_NL 22 juli 2010 13:48

Netjes hoe ze dit oplossen. Mag ook eigenlijk niet anders! Ik ben erg onder de indruk van Dell de laatste tijd op service gebied!

Dat er malware op een chip terecht is gekomen is flink slordig. Maar wie iets met opzet wil bereiken lukt dat ook vaak. (Ik werk op Schiphol en kan nog steeds dingen mee naar binnen smokkelen als ik moeite zou doen)

Maar het gaat mij deels om de oorzaak maar meer om het feit hoe dat Dell deze 'fout' weer recht zet. En dat doen ze, in mijn optiek, netjes. Even klant bellen dat ze nog een keer langskomen omdat er mogelijk een stukje malware mee is gekomen wat ze toen niet wisten. Als ze dan ook dezelfde dag gelijk op de stoep staan ben ik helemaal tevreden als SysAdmin!

Soldaatje @Lyon_NL • 22 juli 2010 13:56

Fijn dat ze het oplossen maar om ze nou de hemel in te prijzen gaat me wat ver.
Het is uiteindelijk hun schuld dat dat virus erop komt!

Lyon_NL @Soldaatje • 22 juli 2010 14:07

Ik prijs ze de hemel niet in... Ik zeg dat het zo hoort te zijn. En als het op die manier gaat dat ik dan tevreden kan zijn.

HP begint de service beroerd slecht van te worden. Dell wordt steeds en steeds beter. Maar de hemel in prijzen niet, het hoort niet eens stuk te gaan. Maar je mag wel tevreden zijn met een bepaalde manier en snelheid van een service afhandeling!

Verwijderd @Lyon_NL • 22 juli 2010 14:15

Inderdaad Dell service is echt fantastisch ja, als je letterlijk 20 minuten over de garantietermijn heen zit omdat ze daarvoor niet bereikbaar waren heb je vette pech. Dat is pas klantvriendelijkheid idd...

Verwijderd @Verwijderd • 22 juli 2010 15:57

Weet niet waar je het over hebt vrind,.... Mijn notebook was 2 weken over de garantie heen en die is als "binnen garantie" gerepareerd.

Meen me te herinneren dat Dell zelfs een coulance periode van een maand hanteerd.

Als jij er voor hebt gekozen om je Dell apparaat zo goedkoop mogelijk aan te schaffen en dus alle garantie opties (en dat zijn er flink wat) af te halen moet je ook niet klagen. Je krijgt precies waarvoor je betaald hebt.

Ik ben het helemaal met je eens dat het regelmatig voorkomt dat je een uur aan de tel. zit voordat je fatsoenlijk geholpen wordt. Ook vind ik het erg jammer dat je altijd eerst met 2 nono's moet praten voor je iemand met een b-tje niveau te spreken krijgt. Maar wat jij in jouw reply claimt is klink-klare-onzin!

bizkit29 22 juli 2010 13:24

Beetje jammer dat dit is gebeurt, maar gelukkig is het maar een klein aantal van de PowerEdge moederborden

Snap ook niet hoe het heeft kunnen gebeuren maarja,

@wildhagen
Het kan inderdaad een inside job zijn geweest, maar alsnog:
het is voor dell onmogelijke om alle flashchips die op deze moederborden zijn geplaatst te scannen, dit kost namelijk veel tijd. En bij grote bedrijven is tijd geld.

Ik kan me nog wel herinneren dat er vaker op T.net berichten hebben gestaan over besmetting op flashchips/geheugenkaarten
voorbeeld van samsung: nieuws: 'Samsung levert Wave met geïnfecteerde micro-sd-kaart'
Waarschijnlijk is dit de nieuwe manier om spyware en andere virussen op mobiel apparaten en computer te krijgen.. beetje jammer dus

Het is wel goed dat dell zo snel mogelijk met iedereen contact opneemt om mogelijk besmette moederborden in te nemen of te vervangen (of repareren op welke mogelijke manier dan ook).
want het is natuurlijk niet de bedoeling geweest om besmette apparatuur te leveren.

_{@edit:

typo

hier ook al iemand die gebeld werd, en ook al antwoord heb gekregen

http://en.community.dell....ers/f/956/t/19339458.aspx}

[Reactie gewijzigd door bizkit29 op 23 juli 2024 22:19]

Lyon_NL 22 juli 2010 14:14

@Mensen die vragen waarom Dell niet test: Dit doen ze dus wel, ssteekproefsgewijs.

quote: Dell Support
Here are further details regarding the instance of malware introduced on some service motherboards discussed on this forum that affects a very small set of customers. We are proactively contacting identified customers and are working with them to quickly resolve any potential exposure.

There are important pieces of information to note:

1. This issue does not affect any Dell PowerEdge servers shipped from our factories and is limited to a small number of the replacement motherboards only which were sent via Dell’s service and replacement process for four servers: PowerEdge R310, PowerEdge R410, PowerEdge R510 and PowerEdge T410. The maximum potential exposure is less than 1% of these server models.
2. Dell has removed all impacted motherboards from the service supply. New shipping replacement stock does not contain the malware.
3. The W32.Spybot worm was discovered in flash storage on the motherboard during Dell testing. The malware does not reside in the firmware.
4. All industry-standard antivirus programs on the market today have the ability to identify and prevent the code from infecting the customer’s operating system.
5. Systems running non-Microsoft Windows operating systems cannot be affected.
6. Systems with the iDRAC Express or iDRAC Enterprise card installed cannot be affected.
7. Remaining systems can only be exposed if the customer chooses to run an update to either Unified Server Configurator (USC) or 32-bit Diagnostics.

Dell takes customer security and privacy very seriously. Although we are not aware of any reports of customer related issues, we are proactively working with customers to resolve any potential exposure.

Concerned customers can contact Dell technical support at: US_EEC_escalations@dell.com

We will continue to update this forum as new information becomes available or questions arise.

Elmo_nl 22 juli 2010 14:30

Als ik dit zo lees dan lijkt het mij logisch dat een mannetje (of vrouwtje maar dat zal wel niet) met zijn besmette laptop even een MB komt vervangen bij de klant. Is bij het bedrijf waar ik vroegah werkte ook al eens voorgekomen. Hardware komt meestal 'schoon' uit de fabriek. Aangezien het hier om gerepareerde MB's gaat die waarschijnlijk nog binnen garantie vallen (= monteur komt on-site vervangen/terugzetten). Als die nou 'zijn' laptop aan b.v. zijn kids heeft gegeven om weeet ik veel wat te doen op het internet (op vakantie b.v.) en dan bij de klant komt dan krijg je dit soort shit. Ooit een medewerker gehad die zijn bedrijfslaptop thuis ook privé gebruikte. Toen hij bij de klant aan het netwerk hing: BOEM: dikke worm virus. Terug bij mij op kantoor met de vraag zijn laptop even na te kijken want die was 'opeens' zo traag geworden, en dan vind je zaken als 3 virussen, 5 trojans, Limewire, Kazaa (destijds) en hij doodleuk beweren dat niet hij, maar zijn kinderen dat waarschijnlijk hadden geïnstalleerd. 't is maar goed voor hem dat de klant nooit heeft kunnen achterhalen dat hij het was met zijn laptop. Dat bedrijf heeft geloof ik 1 week praktisch plat gelegen (LAN dan). Dit soort dingen gebeuren helaas.

Sondeer 22 juli 2010 13:27

die dingen worden toch door derden in taiwan of china inelkaar gezet.
zou daar is gaan kijken als ik dell was.

het zal wel in opdracht van de chinese overheid zijn

_off topic_
wat duurt het recoveren van mij laptop lang zeg

trogdor @Sondeer • 22 juli 2010 13:51

Helemaal geen onrealistisch idee op zich (is eerder gebeurd), maar dan zouden ze wel een nieuwere worm gebruiken.

EoG @Sondeer • 22 juli 2010 15:26

Gebeurt in Polen voor Europa

voorheen in Ierland, maar dat was te duur (ik als klant merk dat trouwens wel, kwalitatief was Dell een paar jaar terug stukken beter als het aankomt op de assemblage e.d.)

Wel jammer van de Malware, maar gezien het feit dat Dell hier ook voor uit komt vind ik dit een nette oplossing.

FdG 22 juli 2010 16:05

Nee, het is veel simpeler: De iDRAC's uit de generatie 11 servers van Dell gebruiken SD kaartjes als installatietool: daar staat niet alleen de identity van de server op, maar ook alle drivers, installatie software e.d.
Je kunt hier echt prachtig een OS vanaf installeren, helemaal zonder hulp CD/DVD. Ook allerlei diagnostiscs zijn hier vanaf te draaien.

Daarom geeft Dell in zijn verhaal ook aan dat het virus alleen geactiveerd wordt als er software geinstalleerd wordt vanaf die flash kaart. (en het virus dus NIET in firmware van het bord zit).

Het reparatie bedrijf levert die moederboarden waarschijnlijk met een update die ze zelf op die flash kaart zetten: als ze dat doen met een geinfecteerde PC: Hey presto, een PC met een virus in de "hardware". Oplossing is super simpel: Aan de achterkant van de server de SD kaart eruit, in een PC prikken met een kaartlezer, scannen op virussen en terug plaatsen in de server.

Het verhaal nu doet geloven alsof het een "hardware" probleem is en de server vervangen moet worden.

GiLuX 22 juli 2010 17:53

Als je deze dell server hebt en gewoon unix/linux draait kan je eindelijk zeggen dat je daadwerkelijk je eerste virus op je server te pakken hebt... een windows virus notabene...

de ironie...

wilde nog een vergelijking met de spaanse griep maken maar...
*houdt wijselijk zijn mond*

Op dit item kan niet meer gereageerd worden.

Dell waarschuwt voor malware op PowerEdge-moederborden

Lees meer

Reacties (39)

Sorteer op:

Weergave: