Infiziertes Mainboard. Geht das?
 

Ich hatte bzw. habe im Moment einen Virusbefall. Von dem bin ich inzwischen 99,9% sicher das er nicht mit dem Mainboard kam, habe mir aber am Anfang folgende Frage gestellt:

Ist es möglich, es Mainboard (Asus, Sockel 775, High-End Modell) so zu manipulieren, dass es einen PC, in das es eingebaut wird (mit bereits voll installiertem und lange genutzten Win7) zu verseuchen. Man MB hatte nämlich (1 Monat nach Ablauf der Garantie :twak:) den Geist aufgegeben (Haarrss iwo), und da es von ASUS nicht mehr hergestellt wird, musste ich ein gebrauchtes über die Bucht kaufen. Einbau klappte problemlos und Windows konnte nach neuer Aktivierung mit allen Daten und Programmen ganz normal weiter genutzt werden. 1 Tag später meldete sich dann Antivir. (http://www.trojaner-board.de/112743-...-rce-gen.html, klasse Hilfe übrigens:applaus:)

PS: Mainboard war und ist ein ASUS P5Q3 Deluxe Wifi

Das kann man mit fast an Sicherheit grenzender Wahrscheinlichkeit ausschließen.
Ziel ist das Betriebssystem und da eigentlich fast nur Windows.

Unmöglich ist das bestimmt nicht, aber sehr sehr unwahrscheinlich dass sich jmd da die Arbeit gemacht hat, dein BIOS mit bösem code neu zu flashen :crazy:

Das heißt es ist auch nicht möglich (bzw. nur schwer), ein MB so zu manipulieren, das es die Viren beim Start auf die Festplatte oder den RAM spielt?

Möglich ist viel. Z.B. ist auch möglich, dass morgen um 11:53 und 27,5 Sekunden GMT ein Asteroid durch deinen linke Schuh rast. :blabla:
Die Wahrscheinlichkeit geht allerdings doch eher deutlich gegen Null. (Sag mir aber bitte morgen Bescheid :abklatsch: )
Unter Laborbedingungen ist einiges möglich, vor allem wenn man quasi alle Parameter bestimmen oder doch zumindest direkt beeinflussen kann bzw. wenn man sie beeinflussen könnte. Theoretisch halte ich es für möglich, dass ein sehr gewiefter Malwareprogrammierer in die Firmware (= BIOS) einer Hauptplatine, die ihm beliebige lang für Experimente vorliegt, auch etwas einbauen kann. Vorallem wenn man sich diese Hauptplatine auch aussuchen kann. (Allerdings scheint (nach den Bildchen bei Asus) dieses MoBo keinen gesockelten BIOS-Baustein zu haben, was es wiederum ein Stückerl schwerer macht)
Die Wahrscheinlichkeit dafür ist aber eher im mikroskopischen Bereich der Sub-Nano-Wahrscheinlichkeit, Warp 3 ist da wahrscheinlicher.
Würde ich so was machen (können), ich würde aber sicherlich nicht für so etwas "poppeliges" wie JS\Hiloti.C.1 mein Können opfern :kaffee:

Dann bin ich beruhigt. Ich bin inzwischen bei allem sehr vorsichtig, man kann ja nie wissen... Übrigens sehr gutes Forum hier!

sagt man dem 0-access rootkit (Sirefef) nicht nach MBR der Festplatte und auch das BIOS, also dem Mainboard flash befallen zu können, zumindest was die cloaking Technik angheht?

Man sagt vielem was nach. Um ein BIOS befallen zu können, müsste man aber die Sicherheitsmechanismen des (dieses!) BIOS' überlisten, in der Regel überprüft doch das BIOS per HASH ob es sich von diesen Daten überschreiben lassen will bzw. ob diese BIOS-Sequenz ausgeführt (geladen) wird. Außerdem ist beim BIOS noch die Schwierigkeit, dass das (bei deinem Szenario) BIOS ja noch voll funktionsfähig bleiben muss, selbst wenn der HASH-Wert stimmen sollte und es eben nicht nur "ein BIOS" gibt, der MBR z.B. ist ja "ziemlich genormt", deshalb kann/konnte ja mit fdsik /mbr, fix /mbr etc. ein jeweiliger Standard-MBR auch wiederhergestellt werden. Ein beliebiges (aktuelles) BIOS im laufenden Betrieb eines ahnungslosen Opfers zu befallen ist meines Wissens ein reines Märchen und Wunschdenken. Laborbedingungen bzw. alte BIOSe aus der Zeit vor "Tschernobyl/CIH sind was anderes, wobei die "CIH-BIOSe" die ich gesehen habe regelmäßig nicht mehr funktioniert haben.)
Beim TO könnten natürlich Laborbedingungen zutreffen, aber auch hier gilt:
es ist nicht ganz einfach (bei ungesockeltem BIOS-Baustein noch einmal deutlich schwieriger/aufwendiger)
das BIOS müsste weiterhin funktionieren
"JS\Hiloti.C.1" spricht dagegen - falls dies eine Folge sein sollte.
Für JS\Hiloti.C.1 macht sich niemand die Mühe. Und eine Malware die gefunden wird, zieht in der Regel weitergehende Suche nach sich, eine "gute" Malware erpresst entweder (und tarnt sich auch da als BKA, Gema, AV-Programm etc.) oder will ganz versteckt bleiben.

Naaah also ich hab da so ein bekannten, soweit ich weiß investiert er ca. 90% seiner Freizeit mit Pornos gucken!
Der hatte mal son alten Rechner kann keine genaueren Daten sagen außer das er ein Pentium 3 CPU hatte.
Sein PC hat immer beim Booten die Nachricht ausgegeben 'Virus detected' also bevor das OS überhaupt angefangen hat zu laden! :DD

Naja das kann ich mir beim besten willen nicht vorstellen, allerhöchstens BEIM Booten von Windows, aber nicht davor. Sowas ist sogenannte Scareware und täuscht ein Anti-Viren Programm vor, was es halt nicht ist, denn es ist selbst die Schadsoftware. Es gibt diesen Müll in allen Variationen darunter auch welche die beim Windows Boot Logo stattdessen "Virus detected" oder ähnliches anzeigen. Diese ändern einfach den Bootscreen von Windows, aber das hat nichts mit einem infizierten BIOS zutun.

Bei älteren BIOS'en kann ich mich an die VirusProtection noch erinnern
Das hat aber "nur" vor einer Veränderung des MBR geschützt

DasKnuffel bitte diskutier nicht mit mir über Sachen von denen du anscheinend keine Ahnung hast. Vielleicht ist dein Trojaner/RAT nicht in der Lage zu etwas, aber es gibt auch Menschen die sind in der Lage Atomkraftwerke lahmzulegen mit ihren ASM Codes, technischen und elektrischen Fachwissen. Oder Chinesen die sich zuhause eigene Handys bauen xD!

Pass auf:
Zweites google Ergebnis https://www.datenschutz.de/news/detail/?nid=5081
Drittes google Ergebnis Die Rückkehr des BIOS-Trojaners | heise Security
Fünftes google Ergebnis http://www.computerhilfen.de/info/ne...-scannern.html

Wofür gibt es denn die BIOS Einstellung 'Scan for Virus' o.ä. wenn es niemanden gibt der kein MsgBox tester ist und es nicht gebacken kriegt ein MBR(MasterBootRecord) mit einem lauffähigem Code zu überschreiben?

Wenn wir nun logisch nachdenken sind es schon allein die Leute, die diese BIOS Funktion programmieren die zu so etwas in der Lage sind.

Wenn auf dem Bildschirm in grüner Schrift irgendwas von "Virus detected" und von "Press C to boot anyway or Enter to Shut Down!" steht kommt es sicherlich nicht von Windows.

Hat irgendwer Gegenteiliges behauptet?
Bei deiner vorher schwammigen Aussage von "irgendwas mit P3" und "pornos" und "Virus detected" kann man nun konkret keine Rückschlüsse mehr ziehen was da genau wie infiziert wurde
Zeitlich in etwa passen könnte der CIH zu dieser ollen P3-Maschine von deinem pr0no Freund :rolleyes:


Ich bin mir sicher, dass keine derartige Virenmeldung direkt von Windows kommt (gewollt ist), das tut immer noch die Malware :pfeiff:
Die Frage ist welcher Bereich infiziert wurde, deine Aussage

Ist so ungenau, dass man nicht genau bestimmen kann welcher Teil da nun genau vom Rechner manipuliert wurde.

Das kann ich auch nicht sagen da ich es genauso wenig selbst weiß wie es mich interresiert hat.

Bekannter*

Mir ging es darum das die Maleware nicht vom OS kam! Denn wenn die Maleware ein Windows System infiziert, und eine MsgBox ausgeben soll dann kommt die MsgBox ja irgendwie von Windows. Fakt ist wen man eine MsgBox aufm Windows Desktop siht ist es was anderes als wenn man nen Grünen text im DOS Style hat während man eigentlich das Bootscreen sehen sollte.

Denn mehr kann ich auch nicht sagen da ich selber nicht mehr drüber weiß.

Was hast du immer mit deiner MsgBox? Wie sind hier nicht bei VBS

Meinst du sowas in der Art? => Malware blockiert Bootvorgang | heise Security

i mog die :lmaa:

Nein! Die Schrift war englisch und nicht russisch außerdem war Sie grün und viel mehr mittig aufm Bildschirm. Hinzu kommt das man nix eingeben konnte außer C oder Enter.