Trojan besmet Bios

[Santa Maria]

http://computertotaal.nl/software/23054-...bios-.html


Gisteravond vernam ik via Computer Totaal dat Symantec een Trojan ontdekt heeft die jouw Bios kan besmetten.
Als Symantec dat zegd, dan geloof ik dat wel, immers is Symantec een gerenommeerde beveiligingsbedrijf.
Mijn vraag luid nu, stel dat een gebruiker die Trojan krijgt, waardoor de Bios besmet geworden is, hoe kan de gebruiker dit oplossen dan.?
Ik persoonlijk zou zeggen, haal de batterij of in het geval een gebruiker een Laptop dan wel Notebook heeft, de accu eruit, wacht even +/- 15 seconden en plaats dan de batterij of de accu terug in de voor het bestemde houder en het probleem is opgelost.
Indien je Computer\Laptop\Notebook een jumper op de mobo heeft, kun je het ook via de jumper de Bios resetten.
Maar nu rest de vraag: Is er ook nog een andere makkelijke manier om die Trojan te verwijderen, immers zit die Trojan in de Bios en de vraag is, of een anti virusscan of mbam wel gebouwd is om die Trojan uit de Bios te halen.? Immers zit die Trojan niet op de hardeschijf.

[captain kirk]

Er was al door een bekend persoon over getwittert: https://twitter.com/#!/captainkirk_15/st...6642850816

Ik denk ook dat de meeste AV's binnenkort met een detectie en sollution-update komen. Zoals de tweet al zegt, het is lastig te detecteren dus m.i. niet onmogelijk.

[Santa Maria]

(16-09-2011 10:50)captain kirk schreef:  Er was al door een bekend persoon over getwittert: https://twitter.com/#!/captainkirk_15/st...6642850816

Ik denk ook dat de meeste AV's binnenkort met een detectie en sollution-update komen. Zoals de tweet al zegt, het is lastig te detecteren dus m.i. niet onmogelijk.

Ik zit niet op twitter, dan kan ik dat ook niet weten.
Betreft de Av's: Zou best weleens kunnen, maar dan nog zit je met het probleem Bios.
Een Av kan Trojan's detecteren en onschadelijk maken, maar indien een Trojan de Bios benaderd heeft om het zomaar even te zeggen, dat is het leed niet meer te overzien.
Voor mensen die op computergebied niet echt een kei zijn is dit een catastrofe; zooitje geld wat ze neer mogen tellen aan deskundigen en voor anderen die wel kunnen bakken en braden met een computer word het inprincipe een eitje m.u.v. dat ze lopen te mopperen.

[miekiemoes]

Ze zullen wel de installer voor de Trojan detecteren - dus preventieve detectie, maar éénmaal geïnstalleerd, dan is dit al een heel stuk moeilijker en is verwijdering/opschoning vrijwel onmogelijk voor de BIOS zelf, tenzij de BIOS wordt geflashed. Scanners kunnen wel de extra componenten detecteren die erbij meekomen (zoals de mBR rootkit, PE file infector en kernel mode RootKit), maar zolang de BIOS nog geïnfecteerd is, heeft het zowiezo geen zin om de MBR rootkit etc te detecteren/verwijderen aangezien bij een volgende herstart de BIOS infector verantwoordelijk is voor het opnieuw overschrijven van de MBR.

Zie ook hier voor meer info door Marco geschreven: http://blog.webroot.com/2011/09/13/mebro...-the-wild/

Trouwens, deze is eigenlijk niet zo nieuw. In 98 zijn we hetzelfde al tegengekomen (Chernobyl) en de POC Icelord in 2007.
http://en.wikipedia.org/wiki/BIOS#Virus_attacks

[Santa Maria]

Citaat: Ze zullen wel de installer voor de Trojan detecteren - dus preventieve detectie, maar éénmaal geïnstalleerd, dan is dit al een heel stuk moeilijker en is verwijdering/opschoning vrijwel onmogelijk voor de BIOS zelf, tenzij de BIOS wordt geflashed.

Ik denk ook wel dat de makers maatregelen zullen nemen om dit soort dingen te voorkomen.
Daarom liet ik weten dat men er verstandig aandoet indien de Bios besmet is door die Trojan, de batterij of de accu afhankelijk van systeem, eruit te halen gedurende +/- 15 seconden en dan weer terug te plaatsen of indien mobo een jumper heeft, resetten.
Natuurlijk kun je de Bios flashen door er een nieuwe Bios update er overheen te gooien, maar of je daar het probleem mee oplost, ik denk het niet.
Ik denk namelijk dat je de situatie alleen maar verergerd.
Resumerende: Zolang de makers van de Av-scanners geen update gemaakt hebben om die Trojan te detecteren is het beste medicijn zoals ik omschreef.
Wat ook beter is en ik moet eerlijk zeggen dat ik dit niet graag zeg;

geen gebruik meer maken van p2p sites of nieuwsgroepen.
Met deze 2 dingen is de kans 100% aanwezig dat je die Trojan krijgt.
Soms denk ik weleens; dit er even tussendoor, dat het maken en verzenden van Trojans en andere vulnerable, erom gedaan word.
Zodat je ontmoedigd en angstig raakt om nog dergelijke dingen te downloaden.
Mijn denkwijze is hierop gebaseerd: Sinds mensen massaal dergelijke dingen downloaden waardoor de Platen en Film industrie inkomsten mislopen, steken die dingen van Trojans en Virussen langer hoe meer de kop op.
Vroeger hadden we dit ook al, maar lang niet zoveel als nu.
Ik zou gezien mijn denkwijze best weleens gelijk kunnen hebben.
Goed terug naar de actualiteit: Wanneer ziet men of de Bios besmet is met de Trojan.?
1. Je hebt geen toegang meer tot je Bios menu omdat dit beveiligd is met een wachtwoord, terwijl jij dit niet gedaan hebt en\of 2. Je merkt dat je systeem gegevens gewijzigd zijn.
Stel dat je Bios besmet is met de Trojan, mag je dan je kast openmaken en het rom-potje wat op het mobo zit.? Afblijven van dat rom-potje! Zodra je het rom-potje openmaakt kun je het hele moederbord bij grof vuil zetten. Je komt in je Bios via het Bios menu via een van de toetsenbord toetsen: Del,- F8 enz.
Je Bios legen doe je dus zoals ik uiteen schreef: Batterij of accu eruit of resetten met de moederbord jumper.
Andere mogelijkheden zijn er dus niet.

Betreft het overige: Geen commentaar.
M.a.w. ik ben het er helemaal mee eens.