Ich frage jetzt mal ganz blöd, wieso wurde noch nicht das Bios vom Mainboard neu installiert oder mal richtig zurückgesetzt?

Tutorial zur Entfernung eines VBR Rootkits
https://www.youtube.com/watch?v=YMjjoPWTaqw

Zitat:

Zitat von deeprybka

So wie Schrauber schon sagt, ist es äußerst unwahrscheinlich mit solcher Malware in Kontakt zu kommen. Und zusätzlich ist sie für Win 8 oder 10 auch nicht konzipiert (Secure Boot).

Wieso, wenn man eine wichtige Position inne hat, ist es durchaus möglich gezielt mit professioneller Schadware angriffen zu werden

Zitat:

Ganz besonders nicht, wenn ihr selbst werbefinanziert seid und ebenfalls automatisiert Werbung verteilt ohne diese vorher auf ihren Inhalt ueberprueft zu haben. Wer im Glashaus sitzt, ... .
Malvertising ist nichts gaenzlich Unbekanntes. Da gab es schon schicke Sachen.

Das wusste ich nicht bis du es geschrieben hast. Welche Firma/Firmen stehen denn hinter der Werbefinanzierung des Trojaner Boards?

Zitat:

Zitat von laxxal

Ich frage jetzt mal ganz blöd, wieso wurde noch nicht das Bios vom Mainboard neu installiert oder mal richtig zurückgesetzt?

Als Grund faellt mir die Groesse des Bios-Chips und der Inhalt ein. Davon abgesehen ist heutzutage das Bios eigentlich nur noch eine Bios-Emulation.

Nichts ist unmoeglich, wenn es maszgeschneidert wird aber dann muessten auch die Tastatur und die Maus ausgetauscht werden, denn die haben teils wesentlich mehr Speicher frei verfuegbar.

Selbstverstaendlich kann man das machen, ganz besonders wenn eine neuere Version verfuegbar ist. Allerdings weiss man nicht, ohne den Schaedling zu kennen, wieviel Erfolg beschieden sein wird. Denn von innerhalb des infizierten Systems wuerde ja moeglicherweise das Bios gleich wieder kompromittiert. Und wie boote ich in einen Zustand vor dem Bios? Ah, ASUS Dual-Bios muesste jeder haben ...

Desweiteren sollte man nicht unbedingt das Bios ohne Not flashen, ohne Dual-Bios kann das auch mal mit einem Neukauf enden. Selbst Hersteller empfehlen oft, das Bios nur zu flashen zur Fehlerbehebung.

Ein EEPROM laesst sich nur im Stueck schreiben. Also muesste der Schaedling das BIOS auslesen, modifizieren und modifiziert inklusive korrekter Checksumme zurueckschreiben.

Ein erfolgreich verbreiteter Schaedling muesste eine moeglichst vollstaendige BIOS-Datenbank mit allen moeglichen Versionen mitfuehren fuer alle moeglichen Mainboards.
Okay, einige Interrupte sind einfacher zu kompromittieren als andere, aber dann muesste der Schaedling immerhin in der Lage sein, erfolgreich kleinere Codestuecke zu analysieren. Und das bei einer absolut minimalen Groesse. Wie wir heute wissen, eine Maus zu infizieren ist erfolgversprechender.

Sollten sich solche Schaedlinge irgendwann doch durchsetzen, dann muessen die BIOS-Programmierer nur den freien Platz im ROM mit Zufallszahlen fuellen und der Schaedling waere ausserstande Platz zu finden. Lohnt sich nicht mehr denn dank UEFI sind zukuenftig neue Strategien gefragt. Zertifikate, Zertifikate, Zertifikatkollisionen.

Zitat:

Zitat von purzelbär

Das wusste ich nicht bis du es geschrieben hast. Welche Firma/Firmen stehen denn hinter der Werbefinanzierung des Trojaner Boards?

Ein kleiner Blick in den HTML-Code zeigt, dass man nicht zimperlich ist und mit Google und Amazon gleich zwei zugegebenermaszen serioese Anbieter benutzt. Allerdings ist Amazon in der Vergangenheit (2014) schon durch fleissiges Verteilen von Malware aufgefallen.
Auch Google-Tochter Youtube hat es schon erwischt. (Ganz zu schweigen von Disaster-doubleclick)
Wenn diese ihre Werbung outsourcen oder anderweitig gehackt werden, dann ist Unfug nicht weit.

Zitat:

Zitat von laxxal

Wieso, wenn man eine wichtige Position inne hat, ist es durchaus möglich gezielt mit professioneller Schadware angriffen zu werden

Naja, in so einer Position hat man regelmaessig eine gut bezahlte IT-Abteilung hinter oder neben sich und wird nicht im TB posten.

Jetzt weiß ich auch warum eine Google Suchmaschinenfunktion in TB integriert ist
Wegen Avira: Avira arbeitet nicht mehr mit Ask zusammen falls man Avira Safe Search installieren würde, steht zwar noch so auf deren Webseite, aber ein Mitarbeiter von Avira hat heute in einem anderen Forum gepostet das Avira nun Yahoo als Partner hat:

Zitat:

In der aktuellen Version von Avira Safe Search wird Yahoo für die Suchergebnisse verwendet In den Datenschutzbestimmungen auf der Avira Website wird noch beides genannt (Ask und Yahoo) weil es noch Anwender mit den vorherigen Produkten gibt.
Die Ask Toolbar wurde aus der Avira Antivirus Pro Software Ende Juni 2014 entfernt und Ende 2015 die Suche auf Yahoo umgestellt.

Um mal noch "kurz" meinen Senf dazuzugeben (Muss ich ja fast irgendwann mal bei einem Thread über Boot- bzw. Rootkits)

- In einem oder mehreren Logs von dennissteins werden "Hooks" im Kernel angezeigt. Die Hooks auf dem 32-Bit Windows 7 sind zum Grossteil von Kaspersky. klif.sys biegt hier einiges auf sich um, damit dein AV informiert wird, wenn seltsames Verhalten im System auftritt (Behavior-based Analysis). Hooking ist hier in Ordnung, weil es für x86 keinen PatchGuard (KPP) gibt. Usermode-Hooking hängt mit Sandboxen (von vorgestern) und/oder mit Kompatibilitäts-Shims zusammen. Das APIset Schema von Windows 7?+ z.B. kann zu Meldungen von IAT- resp. EAT-Hooks in Rootkitscannern führen.
- Hooking seitens Boot-/Rootkits ist absolut veraltet und untauglich.
- Wenn ich ein Rootkit schreiben müsste, das auch nur annähernd so unentdeckbar sein soll, wie du es beschreibst, würde ich es als wiederentladenen Gerätetreiber tarnen, dessen Code per APC zur Laufzeit EINZIG und ALLEIN im Kernelspeicher umherhüpft. Eher NIEMALS würde ich unbekannte Benutzer anlegen, oder gar Systemaufrufe modifizieren.

Abgesehen von der Sinnlosigkeit von Hooking und unbekannten Benutzern hat dein Rootkit sein primäres Ziel ganz deutlich verfehlt. Das primäre Ziel ist es, solange wie möglich ohne Notiz des Opfers die Maschine zu infiltrieren. Du hast das Bootkit aber "entdeckt".
Wenn der Angreifer tatsächlich BIOS und UEFI patchen würde, würde er bestimmt keine Entdeckung wollen.

Fazit, ich gehe kaum bis nicht davon aus, dass da in deinem PC oder Netzwerk irgendetwas 0.08 % Spezielles ist.

@bombinho: Der grösste Sprung bzgl. Kernelveränderung ist für mich Windows 2003/XP zu Vista. Die ganzen Neuerungen wie Protected Media Path, UAC, Session-Isolation und neue Prozesserstellung mittels "NtCreateUserProcess" statt "NtCreateProcess(Ex)" beziehen sich nicht nur auf den Usermodus...
Markant sind auch die Unterschiede von 32- und 64-Bit. PatchGuard, Treiber-Signierungszwang, x64-ABI und Neudesign von strukturierter Fehlerbehandlung (SEH).
Mit Windows 10 wurde ausser DeviceGuard und weiteren HV-basierten Neuerungen nicht viel am Kernel verändert. Die Einführung des Metro-Designs hat ausser AppContainer nicht viel mit dem Kernel zu tun. Was hingegen stark überarbeitet wurde, ist der graphische Teil des Kernels. Neben tiefem (!) "Aufräumen" und "Ausmisten" des Codes gibt's jetzt statt nur einer "win32k.sys" gleich drei davon.

Freundliche und bootkit-freie Grüsse!
Microwave

Zitat:

Zitat von Microwave

[SNIP]
@bombinho: Der grösste Sprung bzgl. Kernelveränderung ist für mich Windows 2003/XP zu Vista. Die ganzen Neuerungen wie Protected Media Path, UAC, Session-Isolation und neue Prozesserstellung mittels "NtCreateUserProcess" statt "NtCreateProcess(Ex)" beziehen sich nicht nur auf den Usermodus...
[SNIP]
Neben tiefem (!) "Aufräumen" und "Ausmisten" des Codes gibt's jetzt statt nur einer "win32k.sys" gleich drei davon.

Also ich habe den Kernelquelltext nicht gesehen, aber Microsoft hat sich damit gebruestet, dass seit Win7 ein Kernelumbau stattfand, bei dem Hauptaugenmerk ist, Rechte situationsbedingt einzuschraenken. Mit Win 10 war der Umbau als abgeschlossen gemeldet werden.

Ich guck mal ob ich das finde aber im Prinzip ging es darum, dass viele Aufrufe nichts im Kernel verloren haben und eine Ausfuehrung im Usermode voellig ausreichend ist.
Dass der Umbau fuer die Software transparent bleiben sollte ist ziemlich klar aber es wurde Augenmerk darauf gelegt, was ueberhaupt zwingend im Kernelmode laufen muss, alles andere flog raus und darf sich jetzt im Usermode tummeln.

Damit soll im Prinzip die Angriffsflaeche fuer Rechteausweitungen deutlich verschlankt werden bei moeglichst hoher Rueckwaertskompatibilitaet.