Nieuwe malware poogt bios te besmetten

Beveiligingsfirma Symantec heeft nieuwe malware ontdekt die kwaadaardige code op een bios van de firma Award plaatst. De zogenaamde Trojan.Mebromi hanteert daarbij een tactiek die vooral in de jaren negentig werd toegepast.

Volgens Symantec kan de malware met behulp van een eenvoudige utility een Award-bios flashen. Hierdoor wordt het voor Trojan.Mebromi mogelijk om code te plaatsen in de master boot record waarna de malware in staat is om diverse componenten van Windows te infecteren. De trojan probeert vervolgens data te stelen, zoals wachtwoorden en creditcardgegevens. Bios-chips van andere fabrikanten zouden door de malware met rust worden gelaten.

De aanvalsmethode van de trojan is opvallend, omdat het manipuleren van de bios al geruime tijd niet meer wordt toegepast door malwaremakers. In 1999 wist het zogenaamde Chernobyl-virus, ook bekend als CIH, nog duizenden pc's onbruikbaar te maken door de bios te overschrijven. Ook worden door het Chernobyl-virus de eerste sectoren van de harde schijf vernietigd.

Bios-tool

IT-banen

Reacties (155)

Mils 11 september 2011 13:24

Wat hier nog wel bij vermeld moet worden is dat wanneer de gebruiker het virus activeert, het virus vraagt of de gebruiker zijn antivirusprogramma wil deactiveren. Dan zouden toch wel alle alarmbellen moeten gaan rinkelen.

De malware doet zich volgens het Chinese 360 Security voor als een "game plug-in" en zou gebruikers vragen om hun virusscanner uit te schakelen. Eenmaal actief infecteert de malware de BIOS, de MBR van de harde schijf en Windows, waarna het aanvullende malware downloadt. Mebromi richt zich alleen op systemen met een Award BIOS.

http://www.security.nl/ar...cteert_computer_BIOS.html

Dannisi @Mils • 11 september 2011 13:30

Ik verbaas mij er nog steeds over hoeveel legitieme software bij setup vraagt om je virusscanner even te disablen. Als dat normaal gevonden wordt, dan doet de gebruiker dat dus ook bij minder aardige software.

Katsunami @Dannisi • 11 september 2011 16:11

Nou, probeer jij eens een Canon of Epson all-in-one op een draadloos netwerk te installeren, met een McAfee of Norton AV / Firewall geïnstalleerd. De printerdata laten ze wel door, maar de scannerdata niet.

Canon en Epson kunnen je (uiteraard) niet vertellen hoe je die programma's configureert omdat ze niks ervanaf weten. McAfee en Norton kunnen (of willen) het ook niet uitzoeken, omdat ze niets van de data van de Canon en Epson drivers afweten. De data wordt dus geblokkeerd, maar niemand weet hoe je hem deblokkeert behalve door een bepaalde functie uit te zetten in de firewall (ik ben effe vergeten welke...)

Dus ja, mensen vinden het wel normaal als een programma vraagt "schakel je AV / Firewall effe uit tijdens de installatie".

Exorcist @Katsunami • 11 september 2011 22:52

Een firewall is niet hetzelfde als een virusscanner, en dienen feitelijk ook niet in dezelfde zin gebruikt te worden. Aangehaalde software is alleen met een virusscanner en/of anti-malware pakket te herkennen en te verwijderen.

Een firewall (software) kan weliswaar verkeer blokkeren op LAN en WAN niveau, maar meestal is dat niet op poort 80 (HTTP) gebaseerd omdat er anders wel erg veel fout gaat.
Ik ben verder ook van mening dat een soft-firewall meer kwaad doet dan goed, een goede router met ingebouwde dito firewall is genoeg.

Anti-virus daarentegen is wél belangrijk (Windows) en dient niet uitgezet te worden. Ken ook geen software die dat verlangt, of het moeten cracks van programma's zijn..maar dan heb je de poppen ook al aan het dansen

Anoniem: 16536 @Mils • 11 september 2011 13:37

Dat kun je wel zeggen Mils, maar er is voldoende software die hierom vraagt. Vooral drivers / software van oudere USB apparatuur hebben hier een handje van.

Verder is het natuurlijk vaak zo dat wat ingewikkeldere cracks (denk aan de illegale software gereleased door AiR, die emuleert vaak een USB auth dongle) het ook nodig hebben dat de antivir uitstaat. Niet heel gek dus, en voor een ongetrainde gebruiker zeker geen reden voor alarmbellen, per definitie.

Whieee Moderator Apple Talk @Anoniem: 16536 • 11 september 2011 22:35

Ongetrainde gebruikers die cracks gebruiken... tja.. Die wens ik veel plezier met hun geinfecteerde PC

Als je ervoor kiest om warez te gebruiken, kies je ook bewust voor de bijkomende risico's en is het ook je eigen verantwoordelijkheid om je kennis op peil te brengen/houden.

(Daarnaast zijn er uiteraard hele volksstammen met 'OK-klikkers'

)

Faure @Mils • 11 september 2011 13:42

Het valt mij vervolgens weer op dat het nog nooit echt nodig is geweest om je virusscanner uit te zetten. Ik krijg ook wel eens zo'n melding, maar ik heb het nog nooit gedaan en het heeft nog nooit een probleem opgeleverd eigenlijk.

mcdronkz 11 september 2011 13:31

Tijd voor een overstap op UEFI, net als Apple. :-)

http://en.wikipedia.org/w...nsible_Firmware_Interface

Belg @mcdronkz • 11 september 2011 14:01

(U)EFI zou zelfs gevaarlijker zijn met deze methode van aanvallen. Je kunt meer geavanceerde code gebruiken, hebt meer mogelijkheden en je hebt 1 standaard. Nu is het alleen Award (en dan ook nog niet eens alle versies van Award).

Stel gewoon een wachtwoord in op je BIOS (of UEFI) en de standaard command line tooltjes kunnen niks aanpassen.

Ik schrijf bijvoorbeeld het bedrijfslogo over de bestaande HP logo's, schakel disk encryptie in, wipe de disks in nieuw geleverde systemen en dat allemaal door gebruik te maken van (U)EFI. Toen we nog traditionele BIOS systemen hadden was het per model soms anders.

Anoniem: 16536 @mcdronkz • 11 september 2011 13:38

Er zijn al zat non-apple PC's met EFI bios ook hoor

ikweethetbeter @Anoniem: 16536 • 11 september 2011 18:35

Er zijn al zat non-apple PC's met EFI bios ook hoor

Klopt, die zijn er, en Windows7 werkt er ook prima op!
Echter er zijn nog steeds veel (goedkope) PC's die een BIOS hebben. Apple's met een BIOS bestaan niet (alleen BootCamp emuleert een BIOS ivm de XP compatibiliteit).

watercoolertje

Malware

@ikweethetbeter • 12 september 2011 09:18

Echter er zijn nog steeds veel (goedkope) PC's die een BIOS hebben.

Goekopere en oudere... Ik heb niet bepaald goedkope hardware maar wel BIOS

Maagoed een virusje meer of minder maakt mij niet bang

Niet echt een rede dus om me mobo om te ruilen met het geweldige EFI (waar je veel meer mee kan als je er misbruik van kan maken)

mcdronkz @Anoniem: 16536 • 11 september 2011 13:39

Klopt helemaal, het was slechts als voorbeeld bedoeld.

Anoniem: 291053 11 september 2011 13:23

als dit al in de jaren 90 mogelijk was, vaag ik mij toch af waarom er 20 jaar later nog geen beveiliging is op men MB/BIOS

Remus @Anoniem: 291053 • 11 september 2011 13:27

Die beveiliging is er wel: bijna alle BIOS implementaties hebben een instelling die de flash/EPROM tegen overschrijven beveiligd.

Anoniem: 295700 @Remus • 11 september 2011 13:29

Als dat een beveiliging in de software is, dan heb je er weinig aan! De oude moederborden hadden nog een jumper die je moest omzetten voordat je flash kon updaten. Maarja, dat was niet handig...

[Reactie gewijzigd door Anoniem: 295700 op 22 juli 2024 22:46]

brompot758 @Anoniem: 295700 • 11 september 2011 14:04

Het is een setting in het CMOS RAM, die door het BIOS bij het booten uitgelezen wordt. Als de setting staat wordt bij het booten het schrijven van BIOS onmogelijk gemaakt door een schakelaar in de hardware om te zetten. Hoe die schakelaar werkt is niet op elk moederbord hetzelfde, ook niet als ze een bios delen.

Wil je er omheen dan moet je het CMOS RAM aanpassen (en weten wel bitje je daar moet hebben, wat ook weer MB specifiek kan zijn), rebooten en dan nogmaals dezelfde machine infecteren. Dat wordt erg complex.

Alleen staat deze setting meestal standaard uit en zet bijna niemand hem aan.

JPHM DE LEUW @brompot758 • 12 september 2011 12:58

Hallo Brompot578 ,
goede analyse van jou! Kompliment.!!!
Je zegt: "setting staat meestal standaard uit en zet bijna niemand hem aan".
Maar leg mij dan maar eens uit stap voor stap hoe IK hem WEL AANZET.!

M. Vr. Gr. Peoj

mae-t.net

Malware

@brompot758 • 12 september 2011 14:40

Ik mis ergens iets. Hoe kan software "een schakelaar in de hardware omzetten"?

Overigens mag je m'n vraag als rethorisch beschouwen en het antwoord achterwege laten. Hardware die je met software kan manipuleren (even ervan uitgaande dat je geen echte schakelaar bedoelt, dat kan sowieso niet), kan je behalve uit- ook net zo goed aanzetten.

Anoniem: 247804 @mae-t.net • 12 september 2011 19:42

met die verstande dat nadat je het hebt uitgezet, en daarna weer aan, opnieuw de "aangepaste" hardware uitgelezen wordt....dus uitzetten heeft geen effect. Uitzetten en weer flashen bij het aanzetten is dan de enige mogelijkheid

Sfynx @Anoniem: 295700 • 11 september 2011 14:07

Dan moet je eerst nog om die check heen werken. Als je aan het BIOS vraagt "ga eens flashen" en het BIOS zegt "nee", wat ga je dan doen? Je hebt als het goed is geen directe toegang tot de EEPROM, maar moet dat altijd via het BIOS. Anders zou zo'n beveiliging inderdaad zinloos zijn.

erikdeperik @Sfynx • 11 september 2011 20:37

je kun gewoon vanuit windows met winflash flashen,dus kan een virus dat ook.moet wel de checksum kloppend gemaakt worden voor die bios.

heb wel een keer een virus in het mbr gehad,sta je raar te kijken als je na een format/clean install ineens weer het virus opduikt

Exorcist @erikdeperik • 11 september 2011 22:31

Lezen. Het gaat erom dat ieder BIOS een beveiliging heeft om een software-flash tegen te gaan, dus flashen vanuit Windows is dan simpelweg onmogelijk. Een virus zal het dan ook erg moeilijk hebben.

ikweethetbeter @Anoniem: 291053 • 11 september 2011 18:32

@MuSScHeJ:
Het BIOS is qua ontwikkeling al lang dood, en opgevolgd door de superieure EFI. Echter zijn er nog veel fabrikanten die een PC met BIOS leveren.

Stoney3K @Anoniem: 291053 • 11 september 2011 22:19

als dit al in de jaren 90 mogelijk was, vaag ik mij toch af waarom er 20 jaar later nog geen beveiliging is op men MB/BIOS

Er zijn tegenwoordig ook een aantal moederborden die een dubbele ("CrashFree") BIOS hebben. Is je eerste BIOS dus dood, dan schakel je over naar de reserve-BIOS die op het moederbord zit en die niet overschreven kan worden.

Vooral op de overklokkers-borden wordt het nogal eens gedaan omdat sommige instellingen niet meer in software te resetten zijn als je bak helemaal niet meer opstart

... maar een waterdichte bescherming tegen BIOS-virussen is het in principe ook.

Clifdon 11 september 2011 14:02

En laat ik het al weer eens op mijn laptop hebben x_x. MBR veranderd. Ik weet mijn god niet hoe ik het moet gaan fixen. Als het uberhaupt al mogelijk is. Ik hoop maar niet dat andere pc's ook besmet worden in mijn netwerk.

Gropah @Clifdon • 11 september 2011 15:10

Dat je MBR is aangepast betekend volgens mij niet dat het dit stukje malware is. Heb zelf, helaas, ook wel eens een virus gehad dat de MBR aanpaste. Reinstall is de way to go aangezien de MBR dan ook herschreven wordt...

Je hebt ook live linux distro's die de MBR kunnen herschrijven, maar dat werkt vaak met dit soort virussen maar gedeeltelijk

Clifdon @Gropah • 11 september 2011 15:24

ik weet het, het is niet 100% zeker zijn. maar een reinstall wil niet werken. Het is ook wel heel toevallig dat deze laptop 3 dagen geleden besmet word en er nu een nieuwsbericht uitgaat..

Kevjoe @Gropah • 11 september 2011 15:55

Eerste wat ik in zo'n geval doe is via een live linux distro (Ubuntu meestal) GRUB installeren. Lost veel op, maar zoals je zegt niet alles...

HellStorm666 @Clifdon • 11 september 2011 14:13

Waar heb je het virus opgelopen?
Handig voor de andere om in ieder geval dat te vermijden

Clifdon @HellStorm666 • 11 september 2011 14:45

Ik zou niet weten waar het vandaan komt. Echt totaal geen idee! Misschien via e-mail? Maar Eset Antivirus heeft het in elk geval niet tegen kunnen houden.

Soulaiman @Clifdon • 11 september 2011 14:13

Als je in een relatief groot netwerk zit (werk bijvoorbeeld), en de de ROM zou kunnen beschrijven bij het booten via LAN, dan zou dat wel eens het geval kunnen zijn... Maar ik weet niet heel zeker hoe het virus zicht verspreid, dus neem dit niet te serieus.

Iemand zou me kunnen corrigeren ?

Exorcist @Soulaiman • 11 september 2011 23:06

De bootROM voor het LAN is veelal een aparte chip die bij de netwerkcontroller hoort, dus niet het BIOS.

arjankoole

Beveiliging

@Clifdon • 12 september 2011 08:30

En laat ik het al weer eens op mijn laptop hebben x_x. MBR veranderd. Ik weet mijn god niet hoe ik het moet gaan fixen. Als het uberhaupt al mogelijk is. Ik hoop maar niet dat andere pc's ook besmet worden in mijn netwerk.

clean install, en voor je dat gedaan hebt niet toelaten op het netwerk. Anders dweil je straks met de kraan open. Zeker als je niet weet wat de bron van de besmetting is.

mae-t.net

Malware

@Clifdon • 13 september 2011 22:24

Booten vanaf de windows CD en dan utilities als fixmbr en fixboot draaien zou dat meestal wel moeten verhelpen.

Randfiguur 11 september 2011 13:33

Het Chernobyl-virus had een vreemde eigenschap, die dit nieuwe virus vast niet heeft: het werd alleen actief op de 26e van elke maand. In 1999 ontdekte ik het zelf op m'n pc... op de 25e. Dat was dus even flink zweten, ook omdat het verwijderen ingewikkeld was, maar eigenlijk ben ik de maker(s) half dankbaar dat er een 'timer' in het product zat. Het nut of de bedoeling ervan snap ik alleen nog steeds niet. Iemand daar ideeën over?

mcdronkz @Randfiguur • 11 september 2011 13:34

De Chernobyl-ramp vond plaats op 26 april 1986.

wildhagen

Malware
Beveiliging
Privacy

@Randfiguur • 11 september 2011 13:35

Het Chernobyl-virus had een vreemde eigenschap, die dit nieuwe virus vast niet heeft: het werd alleen actief op de 26e van elke maand.

Dat was één variant. Er zijn ook varianten van CIH die op 26 april, 26 juni of 2 augustus actief worden, en één variant word op de 26e van elke maand actief zoals je al aangeeft.

Dit nieuwe virus heeft inderdaad geen dergelijke restrictie, het kan op elk moment activeren.

En het heet Chernobyl omdat de oorspronkelijke variant actief werd op 26 april. De dag van de Chernobylramp (in 1986 dus).

[Reactie gewijzigd door wildhagen op 22 juli 2024 22:46]

scsirob @Randfiguur • 11 september 2011 13:36

De kernramp in Chernobyl vond plaats op 26 April. Lijkt me een logisch verband..
http://nl.wikipedia.org/wiki/Kernramp_van_Tsjernobyl

LessRam @Randfiguur • 11 september 2011 14:03

Het Chernobyl-virus had een vreemde eigenschap, die dit nieuwe virus vast niet heeft: het werd alleen actief op de 26e van elke maand. In 1999 ontdekte ik het zelf op m'n pc... op de 25e. Dat was dus even flink zweten, ook omdat het verwijderen ingewikkeld was,

BIOS klok paar dagen terug zetten en je had de tijd gehad.

ZpAz

@Randfiguur • 11 september 2011 13:52

Computer uitzetten en de 27ste weer aan doen?

kevi-n1 @Anoniem: 415387 • 11 september 2011 14:10

Helaas blijven mensen denken dat een apple computer onschendbaar is. Elke apparaat kan worden besmet met malware. Vaak is hier wel een verbinding nodig met internet maar theoretisch gezien, kan elk lullig apparaat met een processor erin misbruikt worden!

On-topic:

Jammer dat symantec niet vermeld hoe mensen deze malware binnen krijgen! Gaat het hier echt daadwerkelijk om mensen die het slachtoffer zijn geworden doordat ze dachten goede software te downloaden?

Stel deze malware verspreid zichzelf als goede software dus bijv doormiddel van bekende freeware programma's (winrar etc) dan is deze ontwikkeling best zorgelijk en zullen we alerter moeten worden voordat we elke waarschuwings schermpje weer wegklikken..

ChaoZero @iFajar • 11 september 2011 17:03

Wat zou windows hieraan moeten doen?
Zorgen dat de bios niet meer geflashed kan worden vanuit hun OS?
Bijna iedere moederbord-fabrikant levert deze tooltjes voor windows!

Daarnaast vergelijk je firmware (apple's eigen bios, EFI) met sotware (Windows).
Kun je ook een voorbeeld geven waaruit blijkt dat Apple zijn firmware-problemen snel oplost? Ik herinner me namelijk nog wel een aantal problemen die meer dan 1 patch kostte om bijvoorbeeld een flikkerend scherm van de imac op te lossen...

Apple vs. Windows is een discussie die eens met rust gelaten moet worden.
Apple doet het misschien iets beter dan Windows, maar dat is ook logisch; zij werken met gestandaardiseerde hardware en geloof me, dat is VEEL makkelijker dan een compatible OS als Windows te schrijven.

Echte tweakers tweaken en zetten de mogelijkheid tot flashen gewoon uit...

[Reactie gewijzigd door ChaoZero op 22 juli 2024 22:46]

yiNXs @iFajar • 11 september 2011 23:13

Dat er veel virussen voor Windows zijn wil nog niet zeggen dat het onveiliger is. Het zegt alleen dat het onveiliger kan zijn. Dit is volledig afhankelijk van hoe je er mee omgaat.

Er is nou eenmaal gigantisch veel te krijgen voor Windows, zowel legaal als illegaal. Die vrijheid heb je (nog) niet op een Mac, daar is het aanbod relatief gezien behoorlijk beperkt. Dus het is gewoon de bekende kwestie van veiligheid vs vrijheid. Welke is beter? Dat ligt helemaal aan jezelf.. Als je op een Windows machine gewoon niets raars doet, geen illegale software draait, of je laat afleiden door spiegeltjes en kraaltjes in je mailbox ben je gewoon veilig.

Het is dus gewoon wat je wil: beschermd worden door je OS fabrikant met alle bijkomende beperkingen (wat grotendeels security though obscurity is), of de vrijheid kiezen en zelf die verantwoordelijkheid nemen, en op dus op blaren zitten als je risico's neemt.

Er zijn virussen ja, maar vrijwel alleen een gevaar voor de mensen die de dingen doen die je op de veiligere OSsen niet eens kan doen.

roooii @iFajar • 11 september 2011 21:14

Dat is ook niet zo heel gek. Windows is nog steeds het meest gebruikt. Hoewel de apple flink in opkomst is. Maar om dan hier maar gelijk de fanboy van apple uit te gaan hangen, dat slaat natuurlijk weer nergens op. Je kunt wachten er op wachten dat in apple producten ook lekken worden ontdekt.

S0epkip @kevi-n1 • 11 september 2011 19:55

Winrar is geen freeware

108886 @Anoniem: 415387 • 11 september 2011 14:53

Toch straf dat ik juist vande Mac gebruikers hun persoonlijke e-mailadressen de meeste spam aankrijg. Die hele onschendbare levensstijl gaat nog eens serieus backfiren.

Anoniem: 411619 @108886 • 11 september 2011 15:38

Heeft er waarschijnlijk mee te maken dat veel Mac gebruikers geen antivirusprogramma's oid hebben. Wanneer een Mac gebruiker een besmette e-mail binnenkrijgt van een Windows gebruiker is er geen antivirusprogramma om hem/haar daarvoor te waarschuwen, de e-mail wordt vervolgens weer doorgestuurd naar Windows gebruikers die daar dan dus weer problemen van kunnen ondervinden.

Ik werk zelf het meeste op een Macbook Pro, en heb een tijd een virus/malware -scanner gebruikt met als enige reden om geen virus/malware naar Windows gebruikers te sturen. Ben er uiteindelijk mee gestopt omdat ik geen voor mij onnodige software wil draaien.

edit; typo

[Reactie gewijzigd door Anoniem: 411619 op 22 juli 2024 22:46]

BoringDay @Anoniem: 411619 • 12 september 2011 01:38

Een Windows virus kan niks uitvoeren opmeet OSX! Leren we niks meer op school tegenwoordig??????

arjankoole

Beveiliging

@BoringDay • 12 september 2011 08:18

Een Windows virus kan niks uitvoeren opmeet OSX! Leren we niks meer op school tegenwoordig??????

een VB Macrovirus in Word/Excel in principe wel

ook is er al eens een proof of concept virus geweest die een dual-payload had. 1 voor ieder OS. Het andere OS in die situatie was Linux, maar het is alles behalve ondenkbaar dat een dergelijk mechanisme niet voor ieder willekeurig OS, inclusief m'n altijd favoriete OS X, zou werken.

[Reactie gewijzigd door arjankoole op 22 juli 2024 22:46]

BoringDay @arjankoole • 12 september 2011 18:23

Proof of Concepts roepen ze al jaren maar nog steeds niet in het wild.
Zoals ik aangeef een windows-virus kan niks op een Mac uitvoeren.

Een .exe/.bat/.com kan niet opgestart worden.
Daarbij ook al als er een virus zou zijn kan hij geen gebruik maken van root-rechten en zichzelf niet verspreiden.

Een VB Macrovirus kan ook niks op mijn Mac uitvreten ... ik gebruik geen MS Office of applicaties die macro's ondersteunen.

Anoniem: 247804 @BoringDay • 12 september 2011 19:49

m.a.w. dat kun je dus voor elk OS zeggen met een apllicatie oid wat er dus NIET op thuis hoort laat staan te draaien is...he..mijn android app... doet het niet op mijn windows bak...duh....

PepijnK @BoringDay • 12 september 2011 17:47

Een Windows virus kan niks uitvoeren opmeet OSX! Leren we niks meer op school tegenwoordig??????

Met Java en .Net zijn meer dan genoeg lelijke dingen te doen hoor en dat draait prima op OSX. Frameworks en runtimes zijn vaker wel dan niet al aanwezig en als het toch iets is wat de gebruiker vrijwillig installeert is het een koud kunstje om ze gewoon even te downloaden.

De enige collega die ik heb die altijd rommel op zijn laptop heeft is de Mac devoot. Zo overtuigd van de schijnveiligheid van zijn MacBook met OSX dat hij niet te overtuigen is dat een antivirus en antimalware echt geen overbodig iets meer zijn. Ik weet dat het een stereotype is maar het is in zijn geval wel de waarheid.

BoringDay @PepijnK • 12 september 2011 18:19

goh ... vreemd ik in al die jaren nog geen enkel virus heb gehad.
Maar een windows virus van .com/.bat of .exe kan echt helemaal geen mallemoer uithalen op de Mac.

Je collega zal wellicht op elke laptop een zootje er dan van maken ... maar dat is nog steeds niet een virus wat uit zichzelf verspreid en daar zit een wezenlijk verschil.

Je kan moeilijk OSX/Apple de schuld gaan geven als hij niet weet hoe hij met een computer moet omgaan. Dan zal je hem een cursus moeten bieden.

PepijnK @BoringDay • 13 september 2011 16:17

Uiteraard kan je niet een OS de schuld geven van een pebkac.

Maar dat neemt niet weg dat een .jar of .pe net zo gevaarlijk kan zijn voor OSX als voor WNT. Helemaal als de machine in kwestie wordt gebruikt door iemand die overal klakkeloos Ok klikt.

Overigens heb ik op windows ook in geen jaren meer een virus gehad, als je weet wat je doet zijn de risico's redelijk klein en dan maakt het OS niet zo heel veel verschil. Al zal een niche OS minder onder vuur komen te liggen dan een bijna-monopolist.

Exorcist @Anoniem: 411619 • 11 september 2011 23:00

Ik denk, en dan wil ik echt niet flamen, dat meer komt door de doelgroep van Apple.

Veelal onervaren computergebruikers die het gemak van een Mac maar al te prettig vinden, en daardoor overstappen op OSX. An sich natuurlijk helemaal prima, maar áls het een keer fout gaat zal het bij een hele grote groep fout gaan.

Nu er her en der veel mensen op Apple overstappen zal de tijd komen dat ook zij eraan zullen moeten geloven. Juist deze onervaren mensen zonder AV en zonder technische kennis zullen het slachtoffer worden van een evt. aanval op hun systeem en OS.

BoringDay @108886 • 12 september 2011 01:37

Wat een onzin ... Alsof je kan zien dat het van Mac gebruikers komt!

arjankoole

Beveiliging

@108886 • 12 september 2011 08:17

Toch straf dat ik juist vande Mac gebruikers hun persoonlijke e-mailadressen de meeste spam aankrijg. Die hele onschendbare levensstijl gaat nog eens serieus backfiren.

Spam/virussen versturen _nooit_ met de afzender van het systeem waar ze op staan. Ze willen namelijk niet gedetecteerd kunnen worden. Wat ze doorgaans doen is uit het adressenboek een random emailadres pakken, en als dat emailadres mailen.

Ook de headers van een dergelijk mailtje zijn altijd zwaar gefingeerd, ze doen zich al jaren en jaren voor als Outlook, Thunderbird and what not.

Het enige waar je enige waarde aan kunt stellen zijn de Received headers van zo'n mailtje, en zelfs daar proppen ze vaak een paar valse tussen in de hoop je op een dwaalspoor te brengen.

arjankoole

Beveiliging

@Anoniem: 415387 • 11 september 2011 14:12

Dat is 1 van de redenen waarom ik een Mac heb ; )

Daar dacht ik ook aan. Maar volgens mij is het in theorie net zo goed mogelijk - en zelfs handiger/makkelijker en functioneler - om dit op EFI los te laten. Laten we wel wezen, EFI is veel krachtiger dan BIOS, en is tot veel meer functionaliteit in staat. Op onze Mac's wordt die tegenwoordig gebruikt om de recovery te booten (sinds OS X Lion), maar het is triviaal om daar een virus bij te mikken.

mae-t.net

Malware

@Anoniem: 415387 • 12 september 2011 14:46

Bij een MAC is een virus als dit juist de optimale manier om binnen te komen. Het EFI-BIOS is veel krachtiger, en het OS zelf beter dichtgetimmerd. Stel je dus voor dat je als virus in een vrij krachtige BIOS-omgeving kunt draaien en daarmee dus ook grote invloed op het OS kunt uitoefenen. Het relatief veilige OS is opeens niet zo veilig meer...

MSalters 11 september 2011 22:36

't Wordt tijd voor Public Key Cryptography op je BIOS. Nieuw BIOS flashen? Alleen als 'ie met de private key van de fabrikant is ondertekend. Dat is standaard techniek. In tegenstelling tot de 200+ certificates in je browser heb je er hier maar 1 nodig, dus DigiNotar type hacks werken niet. Alleen ASUS kan ASUS biossen ondertekenen, etc.

Anoniem: 114278 @MSalters • 11 september 2011 22:39

@ MSalters:

helaas gaat dat niet op.

iedere firmware of software is digitaal te ondertekenen daar zijn tools voor.

Henk Poley @Anoniem: 114278 • 11 september 2011 23:30

Ja maar de onderteken sleutel van Dell of HP zal jij niet zomaar onder je deurmat vinden. En dat BIOs zal niet op ondertekening, maar op herkomst van de ondertekening worden gecheckt (is 'ie wel van HP?)

Glashelder

@Anoniem: 114278 • 12 september 2011 00:04

Knappe jongen als jij je software kan ondertekenen met alleen de public key van (bijvoorbeeld) een BIOS maker..

Digitaal ondertekenen is een ding, maar betrouwbaar ondertekend, met de juiste key, dat is iets heel anders.

bastian433 @MSalters • 11 september 2011 23:09

Maar dan kunnen de restricties die HP met name met laptops oplegt mbt. het gebruik van andere wifi en HSDPA kaarten welke niet van HP zijn er ook niet meer uitgehaald worden. Dan moet je echt de HP kaarten tegen een 5 x zo hoge prijs oid. kopen. dat was nou net niet de bedoeling.

Exorcist @bastian433 • 11 september 2011 23:54

Dat is nu net wél de bedoeling die fabrikanten als HP voor ogen hebben, het beveiligen van het BIOS tegen hardware die ze niet hebben gewhitelist.

Wat mij betreft een belachelijke beperking, daar je zelfs hardware niet kunt gebruiken die exact hetzelfde zijn als die HP verkoopt voor vele malen hogere bedragen met de melding "104 unsupported wireless device" of iets in die geest.

Zer0 @Soldaatje • 11 september 2011 13:43

Er wordt via het BIOS het MBR gehackt maar dat kan ook direct vanuit windows dus zie het nut niet, een beetje omslachtig.

Door het virus in het BIOS te plaatsen overleeft het een herinstallatie van Windows, en zelfs het vervangen van de harde schijf.

tweakerbee @Zer0 • 11 september 2011 21:33

Volgende keer wordt het dus ook nog BIOS flashen als er een malware infectie is geweest. Fijn!

dasiro @tweakerbee • 12 september 2011 00:17

welcome to the previous millenium

ondertussen zijn er al veel fabrikanten op (U)EFI overgestapt, maar dat wil daarom niet zeggen dat die ook niet geïnfecteerd kan worden. Vroeger moest je nog booten met een diskette of USB-stick om je BIOS te flashen, waardoor het al moeilijker was om hem te infecteren, maar tegenwoordig gaat dat gewoon vanuit windows, dus is het wel makkelijker om hem stiekem te infecteren.

BeosBeing @Zer0 • 19 september 2011 05:01

Gelukkig zijn er meerdere bios-versies, waaronder naast de hier aangevallen Award-bios ook Phoenix en Ami (m.n WinAmi was goed) en bios-opvolger EFI (o.a. Mac). Hierdoor zijn er minder systemen kwetsbaar voor dit virus als voor een willekeurig Windows-virus.

Gomez12 @Soldaatje • 11 september 2011 14:00

Het is een moeilijk te verwijderen springplank naar andere zaken.

Een win-virus is 1x juiste bestandjes en reg-keys verwijderen en je bent ervanaf.
Een bios-virus zet simpelweg bij de volgende boot de bestandjes terug.

_Thanatos_ @Gomez12 • 11 september 2011 16:40

Windows-virussen zijn niet altijd zo makkelijk te verwijderen. Soms zijn het duo-processen die lekaar in leven houden, of nestelen ze zich als een onstopbare hidden systeemservice (group policy kun je bijv ook niet stoppen), of als ze admin-rechten ruiken, nestelen ze zich als hidden device driver ergens op een "handige" plek.

De juiste bestandjes en regkeys verwijderen is wel erg simpel gedacht.

johnkeates @_Thanatos_ • 11 september 2011 17:16

Windows verwijderen maakt het virus dan onschadelijk. Misschien een rare manier van denken, maar als het het als probleemstelling met componenten ziet zou je elk component los kunnen nemen en op die manier de meest effectieve oplossing kunnen vinden. Wat je daarna gaat doen is dan weer een ander punt...

LemonC200 @_Thanatos_ • 12 september 2011 00:40

Als je gewoon in linux boot kun je de bestanden zo verwijderen...

_Thanatos_ @LemonC200 • 12 september 2011 11:29

"gewoon" is voor de meeste gebruikers een mijl op zeven.

Maar dan nog, dan nog moet je geen systeembestanden halsoverkop gaan wegflikkeren, ook niet als ze besmet zijn. Verwijder je svchost.exe maar es, dan kun je Windows opnieuw gaan installeren.

massareal @_Thanatos_ • 12 september 2011 13:29

F-secure heeft een gratis bootcd, deze kan je PC dan gewoon scannen, zit zelfs een updater in, die op meeste systemen gewoon werkt. errug handig!

robvanwijk

Beveiliging
Malware
Privacy

@Soldaatje • 11 september 2011 23:25

Wat heb je daar aan het BIOS besmetten?

Dat is zo'n beetje de allereerste code die actief wordt. Dat betekent dat alles wat via de BIOS gaat (in de praktijk: zo'n beetje alles) niet meer te vertrouwen is. Een virusscanner die probeert de BIOS te scannen (en daarvoor dus de inhoud van de BIOS uit moet lezen) die kun je gewoon voorliegen over wat erin staat; je laat gewoon de inhoud van een schone BIOS zien en de virusscanner kan je niet detecteren, zelfs als je signature wel bekend is.
Bovendien, bij security geldt dat hoe beter je je verstopt, hoe beter je kansen om te overleven. Door je te verstoppen op een plek waar al twintig jaar niemand zich meer verstopt heeft, ben je behoorlijk goed beschermt (totdat scanners, noodgedwongen, daar ook weer gaan kijken, maar zelfs dan heb je nog steeds het voordeel uit de eerste alinea).

mae-t.net

Malware

@robvanwijk • 12 september 2011 14:37

Zo erg als jij het voorstelt is het naar mijn idee nou ook weer niet. Bij computers met een traditioneel BIOS en een modern OS, speelt het BIOS voornamelijk een rol als nog niet alle drivers van het OS geladen zijn.

Zolang een virus dat op het OS zelf draait daar geen stokje voor steekt, zul je het BIOS dus wel gewoon kunnen uitlezen en scannen.

Oeroeg @Soldaatje • 11 september 2011 13:24

waarna de malware in staat is om diverse componenten van Windows te infecteren

NitroX infinity @Soldaatje • 11 september 2011 13:24

Hierdoor wordt het voor Trojan.Mebromi mogelijk om code te plaatsen in de master boot record waarna de malware in staat is om diverse componenten van Windows te infecteren.

Rustiger lezen

Anoniem: 247804 @Soldaatje • 12 september 2011 19:39

Wat heb je daar aan het BIOS besmetten?
Daar worden toch geen vertrouwelijke gegevens opgeslagen?

Edit: Er wordt via het BIOS het MBR gehackt maar dat kan ook direct vanuit windows dus zie het nut niet, een beetje omslachtig.

lol, hoe komt het dan dat je virus scanner die je in windows installeerd niet de MBR kan testen.....uh..omdat eerst je MBR gelezen wordt voordat welk virusscanner of OS geladen kan worden

[Reactie gewijzigd door Anoniem: 247804 op 22 juli 2024 22:46]

Gropah 11 september 2011 13:26

Als je dat binnenkrijgt ben je dus wel erg ver van huis. Maar omdat deze methode vooral in de jaren 90 werd gebruikt neem ik aan dat de Mobo's van nu er gewoon tegen beschermd zijn?

wildhagen

Malware
Beveiliging
Privacy

@Gropah • 11 september 2011 13:28

Nee dus, alleen moederborden met een BIOS van een ander merk dan Award zijn niet kwetsbaar voor dit virus (maar mogelijk niet tegen andere, soortgelijke, virussen).

Dit virus richt zich specifiek op moederborden met een Award-BIOS, en volgens mij zijn dat de meeste consumenten-bordjes tegenwoordig (AMI en Phoenix zie je niet zo gek veel meer tegenwoordig volgens mij).

Gropah @wildhagen • 11 september 2011 13:35

Ok, dus als je een Award-BIOS hebt moet je dus oppassen.

BTW AMI wordt nog wel gebruikt. Heb net mijn Mobo opgezocht en daar stond bij de specs: 8MB AMI Legal BIOS. Is een ASRock, dus misschien dat ASRock nog op AMI zit?

Katsunami @wildhagen • 11 september 2011 16:15

Phoenix is volgens mij opgekocht door AMI, of Award, maar ik weet dat niet zeker meer, eerlijk gezegd. In elk geval bevat mijn Asus P5Q bord een BIOS van AMI (American Megatrends Inc). Het is een bord uit 2008 overigens.

[Reactie gewijzigd door Katsunami op 22 juli 2024 22:46]

bigbadbull @Katsunami • 12 september 2011 10:28

volgens de site van phoenix zelf staat er niet te lezen over een of andere overname.
met een copyright van 2011 lijkt mij dat de pagina wel up2date is.

Alex3 11 september 2011 14:09

Weer een reden om niet onnodig met beheersrechten te werken, dan kan een programma ook niet in het BIOS komen. In 1999 hadden de meeste Windowsgebruikers Windows 95 of 98, dat beschermde daar niet tegen.

wildhagen

Malware
Beveiliging
Privacy

@Alex3 • 11 september 2011 14:19

Tikje kort de bocht. Wel of geen adminrechten zorgt er echt niet voor dat je een BIOS niet kunt overschrijven. Die rechten hebben betrekking op Windows, het BIOS kijkt helemaal niet naar die rechten.

Als de malware gebruik maakt van een exploit die gebruik maakt van privilege elevation kan het virus bijvoorbeeld nog altijd actief worden, ondanks dat de user met userrechten draait, geen adminrechten.

UAC kan hier misschien wel iets mee doen (WinVista en Win7 dus), doordat die misschien het virus blokkeert (weet niet of dat in dit specifiek geval ook zo is).

Alex3 @wildhagen • 11 september 2011 14:38

Het BIOS kijkt niet naar rechten, maar Windows wel als je probeert het BIOS te overschrijven. En ik ga ervan uit dat je ook tijdig updates installeert. Of ken jij een exploit waar nog geen update voor is? En zo geavanceerd zijn de meeste virussen niet, ze gaan er domweg van uit dat thuisgebruikers met beheersrechten werken, en dat is helaas ook meestal zo.

Stoney3K @wildhagen • 11 september 2011 22:30

Tikje kort de bocht. Wel of geen adminrechten zorgt er echt niet voor dat je een BIOS niet kunt overschrijven. Die rechten hebben betrekking op Windows, het BIOS kijkt helemaal niet naar die rechten.

Het schrijven naar een BIOS is toch echt een actie die rechtstreeks met je hardware praat, dus een unprivileged user ('normale sterveling') zou dit nooit kunnen doen sinds het OS normale gebruikers geen rechtstreekse toegang geeft tot de hardware. Daar zijn immers Hardware Abstraction Layers voor uitgevonden -- een sterveling mag hooguit aan het OS vragen of ie misschien, heel alsjeblieft even bij je BIOS mag.

Dat is ook de reden van API's zoals DirectX. In de oude DOS-tijd was het nog makkelijk om met een paar geheugen-schrijf-acties rechtstreeks in de framebuffer of control-registers van je VGA kaart te schrijven, met soms gave resultaten (en soms rampzalige). Toen er een beschermd OS uitkwam (vanaf Windows 2000) kon dit dus niet meer en moesten spellen een andere manier vinden om zo vlot mogelijk met de videokaart, geluidskaart en muis/toetsenbord te communiceren. Zo maar even poortje 3F8 uitlezen, geheugenadres #0000:A001 vullen of een handler aan IRQ5 hangen ging nu eenmaal niet meer zo makkelijk.

(Voor de oude DOS-hackers: Waarschijnlijk weten jullie allemaan nog wel wat deze acties deden.

)

[Reactie gewijzigd door Stoney3K op 22 juli 2024 22:46]

Op dit item kan niet meer gereageerd worden.

Nieuwe malware poogt bios te besmetten

Lees meer

IT-banen

Reacties (155)

Sorteer op:

Weergave: