[HaBo]

Orange

Anzeige

Hi,

gibt es Viren, Trojaner, Würmer die das Bios angreifen? Falls ja, können sie von dort aus auch auf das Betriebssystem übergehen?

Wie hoch wäre die Gefahr einzuschätzen wenn man das BIOS update für BIOS und GPU von einem System einspielt von dem man nicht 100% sagen kann das es virenfrei ist.

SUID:root

Ja, es gibt solche Viren.
Win95-CIH war einer der bekanntesten Viren dieser Art.

Siehe dazu mal: http://agn-www.informatik.uni-hambur...arn/w95cih.htm

Er nistet sich im System ein (HDD), verbreitet sich von da aus über die ganze Platte und löscht zu einem besitmmten Zeitpunkt das Bios.
Sie infizieren also zuerst das System auf der Festplatte und danach das Bios. Umgekehrt wäre das schlecht möglich, denn ein zerstörtes Bios bootet keine Platte mehr.

So hoch wie bei jeder anderen Quelle auch. Wenn man die Herkunft nicht bestimmen kann oder die Quelle nicht als vertrauenswürdig eingestuft ist, ist das Risiko erhöht.
Allerdings gibt es meines Wissens nach nicht so sonderlich viele Viren, die das Bios angreifen.

Gruss

root

Orange

Danke mal soweit, auch für die kurze Spezifikation.

Vielleicht leg ich mein Problem am besten mal ganz konkret dar:

Ich bin in einem LAN das ich nicht für sehr sicher halte. Klienten hier wurden auch schon mit Viren infiziert und meiner Meinung nach unzureichend entfernt - das heisst das entfernen wurde lediglich dem Antivirenprogramm überlassen.

Ich bin nun leider erstmal darauf angewiesen meinen Rechner hier vorübergehend in Betrieb zu nehmen. Dazu gehört das Betriebssystem zu installieren und auch gleich die Treiber updaten und BIOS und GPU Bios flashen - da neue Hardware.
An den Netzwerkeinstellungen kann ich leider nicht viel machen da mir die Rechte fehlen, ich brauche aber den Internetzugang über den Router.

Ich dachte nun, egal. Wenn ich wieder zuhause bin setze ich das System komplett neu auf und formatiere Platten und MBR.

Ich habe mich nun aber gefragt ob es Viren usw. gibt die BIOS Flashs infizieren können. Also, ich setze mich an ein vermeintlich infiziertes System und ziehe mir das BIOS Flash aus dem internet. Beim kopieren des Flash images schreibt sich dann gleich ein Virus mit auf die Diskette.

Soweit ich euch verstanden habe ist das ja aber nicht möglich. Sondern "nur" das ausführen eines Bios Flashs über eine reguläre Virusinfizierung.

Kann ich also davon ausgehen das ich die Kiste wieder sauber bekomme wenn ich sie dann von diesem Netzwerk nehme und vor der Neuinstallation die Festplatten komplett formatiere vor der Neuinstallation?

SUID:root

Lass es mich so formulieren, ahnand das CIH-Virus:

Wenn du dir über Rechner A (im unsicheren LAN) eine Datei auf Diskette ziehst und die anschießend in deinen Rechner steckst, ist es vollkommen egal ob du ein Flash-File darauf gespeichert hast oder irgendeine andere EXE. Sofern Rechner A mit einem Virus verseucht ist, der als Schadroutine das BIOS angreift, überträgst du diesen mit der Diskette auf deinen Rechner.

Um es etwas transparenter zu machen:

Es gibt keine reinen BIOS-Viren die sich nur im Bios einnisten und sich dann auch nur über ein Bios-Update verteilen, quasi das Flash-File schon infiziert ist.
Es gibt aber Viren, die die Festplatte befallen, sich über Wirte (meist EXE-Files) weiter verbreiten und dann als Schadroutine das Bios flashen/killen.
So einen Virus kannst du dir natürlich auf die Platte holen.

Also sollte ein guter Virenscanner Pflicht sein.

Gruss

root

Orange

Was meinst du genau? Tools die das Bios scannen? Das kannst du nicht meinen da ein Flash in dem Sinne ja nicht infiziert werden kann wie wir geklärt haben.
Wenn alle Viren bei einer kompletter Formatierung drauf gehen, wie du sagst, würde ein Tool das Viren vor der Formatierung von HDDs entfernen soll ja auch keinen Sinn machen.
Sorry, checke jetzt nicht worauf du hinaus wolltest.

Interessanter Einwand denn:
Ich kann mein Bios entweder über Dos flashen oder über die Bios-Firmware, also ohne Dos Umgebung.

Wirft bei mir, unter der Voraussetzung wir haben es mir einer infizierten Flash file zu tun, folgende Fragen auf:

Erstmal grundsätzlich dürfte mein Bios ja gar nicht mehr laufen da ein korruptes Bios gemeldet werden würde?

Flash ich mit dem infizierten Bios image über eine bootbare Dos Diskette kann der Virus trotzdem an die HDD weitergegeben werden da Dos unter anderem ja Zugriff auf die HDD bereitstellt?

Flash ich über die Firmware dürfte sich der Virus doch eigentlich gar nicht verbreiten können - da die Firmware welche die Exe ausführt ja sehr wahrscheinlich keinen Zugriff auf andere Komponenten ausser den ROM Chip hat?

Ansonsten ist es klar was du meinst das eine Diskette Viren auf das System bringen kann. Auch dass das Bios an sich nicht infiziert werden kann hast du gut transparent gemacht.

Die Frage an sich hab ich mir aber schon oft gestellt, wie leicht können sich Viren auf Disketten oder CDs übertragen die auf einem infizierten System erstellt werden - oder wie wahrscheinlich ist es.

SUID:root

Hi. Wir reden ein bisschen aneinander vorbei, habe ich das Gefühl.

Komm doch mal von deinem infizierten Flashfile weg *wegzerr*
Ein Flashfile ist nicht infiziert, es sei denn es ist schon direkt modifiziert (dann brauchts aber keinen Virus mehr, wenn ohnehin schon ein paar Bytes vermurkst sind)

Ein Flashfile ist ja auch keine ausführbare Datei, also Schwamm-drüber.

Lediglich dein Exe-Flash-Tool könnte selbst infiziert sein, doch dann kann es auch mit einem x-beliebigen Virus infiziert sein und nicht eben mal mit einem Virus der dein Bios überschreibt. Aber sicher wäre auch das möglich.

root

Orange

@SUID:root

Achso, also Viren können sich nur an Exe Dateien anhängen? Das würde meine Fragen ja wirklich erübrigen.

Aber was meinst du mit "Exe-Flash-Tool"?

@erde

Naja, ne würde das schon gerne kapieren. Wozu so ein tool wenn normales formatieren auch alles platt macht, inkl. Viren.

Möchte das wirklich nur verstehen, hab mir die Seiten auch durchgelesen.

NeonZero

@Orage
Ich glaube Dir fehlen ein paar Grundlageninfos, was Viren, Würmer und Trojaner wirklich sind:

• Kurz gesagt sind Viren kleine Programme, welche die Eigenschaft haben, sich selbständig zu verbreiten. Grundsätzlich kann eine Verbreitung des Virus nur dann erfolgen, wenn der Virus wenigstens einmal z.B. über ein infiziertes Subjekt gestartet wurde. Das ist in etwa so, als wenn Du - ohne es zu wissen - zu dem einen, absichtlich gestarteten Programm, ein zusätzliches Programm gestartet hast: Der Virencode wurde aktiviert.
  
  Das "geheime" Programm kann im Hintergrund alles Mögliche anstellen. In dem Moment, wo sich das Programm kopiert, um sich z.B. an andere, ebenfalls startbare Dateien zu "hängen" oder um sich in dem Bootsektor zu schreiben, wird das System infiziert. Und genau diese Fähigkeit macht das "geheime" Programm zu einem Virus: Es kann sich selbst vervielfältigen.
  
  Ein Virus muß dabei nicht unbedingt zerstörerischen Schaden anrichten. Die Eigenschaft der selbstständigen Verbreitung reicht vollkommen aus, um ein Programm als Virus zu Kategorisieren.

• Würmer sind Viren, welche eine ganz bestimmte Infrastruktur eines Netzwerkes ausnutzen, um sich über die Grenzen eines PCs hinweg automatisiert zu verbreiten. So benutzen sie beispielsweise die eMail-Funktion einer bestimmten Standardapplikation, um sich an alle dort registrierten eMail-Adressen zu versenden.
  
  Obwohl Würmer sich nur über Systeme verbreiten können, auf denen die dazu benötigte Software installiert wurde, sind sie dennoch unglaublich effektiv. Der Grund hierfür liegt darin, das sie - sind sie erst einmal auf den Weg gebracht - kein menschliches Zutun benötigen, um sich rasend schnell innerhalb eines Firmennetzwerks oder über das Internet auf andere PCs zu verbreiten.
  
  Im "Gepäck" haben Würmer nicht selten einen "normalen" Virus oder Trojaner, der sich dann auf dem üblichen Weg in den Systemen verewigt (z.B. als .exe-Anhang einer eMail).

• Ein Trojaner selbst ist KEIN Virus, da ihm die Eigenschaft fehlt, sich eigenständig zu verbreiten. Ein Trojaner ist lediglich ein Programm, welches sich als nützliche Anwendung tarnt, im Hintergrund aber ohne das Wissen des Anwenders eine ganz andere Funktion erfüllt. Mit anderen Worten ist der Trojaner also immer nur der Wirt, welcher eine geheime Komponente in sich birgt.
  
  Genau genommen ist aber jede Datei, an der ein Virus "hängt", die also infiziert ist, ein Trojaner. Der Wirt - also die infizierte Datei selber - vermehrt sich nicht. Nur der angehängte Virus heftet sich an andere Dateien.
  
  Die infizierte Datei könnte ein harmloses Programm sein. Dadurch, daß es aber mit einem Virus infiziert wurde, verliert das Programm seine Harmlosigkeit: Wird das infizierte Programm nun auf einem PC installiert, kommt zu dem bewust installierten Programm "heimlich" auch der Virus in das System. Dadurch erfüllt das mit einem Virus infizierte Programm alle Bedingungen, um auch als Trojaner klassifiziert zu werden.
  
  Diese genaue Unterscheidung wird in der Fachwelt jedoch selten gemacht. Ein Programm wird dort erst dann als Trojaner bezeichnet, wenn es nicht zufällig durch einen Virus, sondern gezielt (z.B. mit Hilfe eines Tools) um eine böswillige Komponente "erweitert" wurde. Oder wenn es von vornherein so programmiert wurde, daß es eine heimliche Komponente in sich birgt.
  
  Jetzt wird es ein wenig verwirrend: Wenn der Programmierer des heimlichen Programmteils das so vorgesehen hat, können aber auch solche, >>NICHT durch einen Virus infizierte<< Trojaner für die Verbreitung von Viren zuständig sein. So kann z.B. ein als Spiel getarnter Trojaner Makroviren an alle *.doc-Dateien hängen, während das Spiel ausgeführt wird. Aber auch hierbei wird nicht der Trojaner selbst verbreitet, sondern lediglich ein Virus durch den Torjaner eingespielt (gedroppt / injiziert).

Zusammengefasst sollte klar sein, daß sich ein Virus nur an Dateien hängen kann, welche ihm die Möglichkeit geben, ausgeführt zu werden. Mit anderen Worten ist es zwar technisch durchaus möglich, den Virencode an andere Dateitypen zu hängen, jedoch macht es keinen Sinn, da der Code dort nie aktiviert wird.

Ungeachtet dessen kann die Schadensroutine des Virus natürlich jede beliebige Datei >>zerstören<<. Wie schon erwähnt bedeutet das jedoch nicht, daß die zerstörten Dateien mit dem Virencode infiziert sind.

Ich hoffe, alle Klarheiten sind beseitigt?

Bye, nz

SUID:root

Nein, nicht nur an Exe. Aber eigentlich nur an ausführbare Dateien (exe, scr, pif, etc...)
Es gibt sicher noch besondere Ausnahmen wie Macroviren oder auch Viren die durch den JPEG-Exploit übertragen werden können (wobei die dann auch wieder ausführbar sind, wenn auch im weiteren Sinne).
Im Großen und Ganzen sind heften sie sich aber nur an ausfürbare Dateien.

Mit Exe-Flash-Tool meinte ich das Tool, mit dem du dein Bios flashst. In der Regel ist das ein Windows oder DOS-Tool (also das Programm ist immer eine Exe) und damit flashst du dein BIOS.
Aufgrund der Natur der Sache (es handelt sich um eine Exe) könnte es selbst infiziert sein (das kann aber jede andere Exe auf dem System oder auf der Diskette ganz genauso).

root

Schlaflos

uff -.-


Ja, oder über Windows mit einem vom Hersteller angebotenen Flash Tool. Oder unter Linux. Oder Mac OS X. Oder Unix. Oder oder oder...

Wenn der Virus nicht gerade einer der Sorte ist der über Ports kommt und wild Dienste flach legt wird dieser wohl in einer exe Datei (executable -> ausführbar) vorhanden sein müssen. Wenn du dein Auto nicht startest fährt es auch nicht.

Ja, wenn es erstmal kaputt ist...

Ein Bios image wird nicht infiziert sein! Aber selbst wenn dies möglich wäre, nur mal um an der Realität vorbeizuschweifen, und du hättest vielleicht NTFS als Dateisystem, da wäre es DOS nicht möglich hier schreibenden Zugriff zu haben.

Wenn du das BIOS über das eingebaute Flash Tool flasht wird wohl keine exe ausgeführt werden, sondern ein ASM Programm (oder vielleicht c) das jenes Image (vermutlich binary) verarbeiten wird.

Grundsätzlich wird ein BIOS nicht infiziert. Ein BIOS liegt auf einem ROM Baustein der nicht schreibbar ist ohne weiteres. Man kann es nur zerstören. Dann muss ein neues Board oder ein neuer BIOS Baustein her.

Die sind ja nichts magisches! Die zaubern sich da ja nicht drauf. Wenn du 10 Programme hast die über 10 exe Dateien ausgeführt werden die alle infiziert sind und du diese 10 Programme auf CD brennst, dann werden die Viren auch auf der CD sein. Wenn man dann die Programme aber nicht ausführt von der CD, dann werden sich die Viren auch nicht weiter verbreiten.

-.-

Orange

Sorry für meine späte Rückmeldung, ich hatte RL viel Stress.

Danke auch für eure gründlichen Antworten. Ich muss zugeben das mir die Unterteilung von Malware und deren Verbreitung noch nicht richtig klar ist.
Soll aber erstmal egal sein. Wichtig ist vorerst das ich mein System, inkl. Bios Flash, installieren und falls es infiziert wird, wieder neu aufsetzen und dabei sämtliche Viren loswerden kann. Das Thema Malware muss ich später einmal vertiefen.

Ein paar Fragen habe ich noch:

- Was ist wenn mein System infiziert ist und noch Schädlinge im Ram verbleiben. Mit anderen Worten: ich will den Rechner wieder sauber bekommen, nehme ihn deshalb wie besprochen vom derzeitigen Netzwerk, formatiere die gesamten Festplatten komplett und installiere neu. Kann sich dann ein Virus o.ä. eventuell doch wieder auf das System übertragen weil noch ein infizierter Teil der vorigen Installation im RAM verblieben ist?

- Mein Board (Asus P4C800 E-Deluxe) hat zwei Features um das Bios zu schützen. Einmal kann die Batterie zurückgesetzt und damit die Grundeinstellungen des BIOS wiederhergestellt werden. Zum anderen gibt es die Funktion "CrashFreeBios" hier kann das Bios von der mitgelieferten CD aus wieder geflasht werden.
Kann mich das von einem Virus wie dem von erde beschriebenen "CIH" schützen?
Ich verstehe nicht was der Unterschied zwischen der "CrashFreeBios" Funktion und der normalen Biosupdate-Routine sein soll. Ein Schutz wäre dann ja nur gegeben wenn in diesem Fall das flashen nicht über die Bios Firmware funktionieren würde die ja auch beschädigt sein kann, aber wie soll das gehen.

- Wofür gibt es die von erde angesprochenen Tools wie Kill Disk, Clean Disk und s0kill wenn bei einer herkömmlichen Formatierung von HDD und MBR auch sämtliche Viren entfernt werden?
Bin ich mit einer Formatierung wirklich auf der sicheren Seite?

Habe das dumm ausgedrückt. Das Viren auf Wechseldatenträger übertragen werden können indem halt einfach infizierte Daten auf sie kopiert werden ist ja klar. Ich meinte, können sich Viren auch auf Disketten, CDs übertragen wenn z.B:
- eine Datei aus dem Internet direkt auf die Diskette gespeichert wird, ein Zwischenlagern auf dem befallenen System also eigentlich nicht stattfindet?
- Eine Diskette oder eine brennbare CD einfach nur ins Laufwerk gelegt wird?

SUID:root

Zu deinen Fragen, um es kurz zu halten:

1.) Da du dein System ja vor einer Neuinstallation neu bootest und vorher einen Reset durchführst bspw. um von CD zu booten, wird der RAM geleert => keine Viren mehr existent

2.) keine Ahung. Dazu mal googeln. Sagt mir nichts.

3.) Diese Tools löschen die Festplatte. Im Grunde ist eine Formatierung vollkommen ausreichend wenn es um die Beseitigung von Viren geht. Wenn du eine Festplatte so löschen möchtest, dass niemand mehr deine Daten wiederherstellen kann, dann empfehlen sich dies Tools.
Warum erde das in diesem Zusammenhang gepostet hat, musst du ihn fragen.

Eigentlich ist es nicht nötig um Viren zu entfernen.

Gruss

root

5h33p

andere frage: Angenommen ein BIOS wurde gelöscht, was dann? Ein anderer BIOS Chip? Anderes Mainboard?

SUID:root

Das kannst du dir aussuchen.
Im Grunde ist es nicht möglich, ein kaputtes BIOS zu reparieren.

root

5h33p

Du meinst weil es zu viel Aufwand währe auf den BIOS wieder zuzugreifen oder weil man auf nem Mainboard nicht löten kann?