Trojaner im Bios? Experten gefragt ...

[PeterK]

Vor 2 Wochen habe ich mir einen BMAX B4 Turbo Mini-PC mit Windows 11 gekauft. Die Hardware (N150, 16 GB, 512 GB SSD) ist für meine Zwecke eigentlich gut geeignet (denn ich bin kein Spieler) und sie war recht günstig. Allerdings erschien mir die Firmware und Software nach der ersten Prüfung nicht sicher genug zu sein, um damit ins Internet zu gehen. Das Secure Boot des Bios vertraut auf den AMI Test Platform Key "DO NOT TRUST" und auch ein Treiber für Trusted Execution wurde nicht mit geliefert (unknown device: ACPI\INTC1025\2&DABA3FF&0 = Intel TXT Authenticated Code Module).

Desweiteren konnte kein Defender Offline Scan ausgeführt werden. Nach dem Neustart des Systems und dem Öffnen des Scan-Bildschirms wurde der Defender sofort abgebrochen und Smart-Recovery erschien, oder vom USB-Stick gestartet, fror der Defender schon vor dem Scannen ein. Das lies bei mir den Verdacht auf eine mögliche Bios-Infektion mit einem Trojaner aufkommen, denn auch der Avira Rescue Scan startete nicht, weil angeblich nur eine 800x600 Auflösung vom Ubuntu-Treiber unterstützt wurde.

Nach einer Windows 11 Repair-Installation, die auch eine neue Recovery-Partition anlegte und dem Bereinigen des Systems, dh. Entfernen der alten Windows-Reste, konnte Defender Offline jetzt erfolgreich nach dem Neustart ausgeführt werden, scannte allerdings nur bis ca. 91 %. Die BMAX Recovery und Smart-Recovery Partitionen habe ich entfernt. Trotzdem blieb immer noch der Verdacht des verseuchten Bios.

Mit den AMI Firmware Utilities für Windows habe ich dann das Bios Rom v1.1_256, release 5.27 in einer 10 MB großen Datei gespeichert und zu Virus Total hochgeladen. Die 62 Scanner dort konnten allerdings nichts verdächtiges finden. Es gab aber eine Warung: "Contains a fully-fledged Windows executable, could be an indication of malware implanting."

Aufgrund dieser Warnung habe ich die Bios-Datei, die laut Defender ca. 470 Files enthält, mit Hilfe von 7zip in ein Unterverzeichnis extrahiert und nach dieser ausführbaren Datei gesucht. Bei der Suche nach Hex $4D5A = "MZ" am Anfang waren fast alle gefundenen Dateien vom Typ ".EFI", nur eine ".RAW" und eine ".DLL" oder ".EXE", aber mit einer anderen Endung: "3.380B6B4F", die mir dann im Hex-Viewer verdächtig erschien. Deshalb habe ich diese Datei in eine ".DLL" umbenannt und nochmals zu Virus Total hochgeladen, aber 73 Scanner fanden wieder nichts.

Dann gab es bei Virus Total aber noch 3 Sandbox-Scanner, die das Verhalten dieser Datei bei ihrer Ausführung genau analysierten. Zwei waren schon nach kurzer Zeit fertig, fanden aber nur eine Telemetrie-DNS darin. Der dritte Sandbox-Scanner schien mir zunächst abgestürzt zu sein, denn er wurde einfach nicht fertig mit seiner Untersuchung. Einige Stunden später lag dann aber doch ein Ergebnis unter "Behavior" vor, was mir sehr nach dem gesuchten Trojaner aussieht oder was meinen die Malware-Experten hier dazu?

Siehe insbesondere VirusTotal - File_Behavior.pdf

 

[rg88]

Also, mal das ganze auf die Realität runtergebrochen:
Nagelneue CPU-Plattform -> Deshalb auch Probleme mit der Linux-unterstützung, damit ist der Punkt schon mal erledigt:

Das lies bei mir den Verdacht auf eine mögliche Bios-Infektion mit einem Trojaner aufkommen, denn auch der Avira Rescue Scan startete nicht, weil angeblich nur eine 800x600 Auflösung vom Ubuntu-Treiber unterstützt wurde.

Der ebenfalls:

und auch ein Treiber für Trusted Execution wurde nicht mit geliefert (unknown device: ACPI\INTC1025\2&DABA3FF&0 = Intel TXT Authenticated Code Module).

Dann musst halt schauen, dass du den Treiber von Intel installierst.

Zum Rest: DO NOT TRUST heißt lediglich, dass es sich um eine Selbstzertifizierung handelt. Das sagt überhaupt nichts darüber aus, dass etwas nicht passen würde. Der Aussteller des Zertifikats ist eben dem Tool das du benutzt nicht bekannt. So ein typischer Fall wie "wer viel misst, misst Mist".
Man sollte halt, wenn man ein Tool benutzt um irgendwas zu prüfen, auch wissen, was man eigentlich prüft und was man als Ergebnis erwartet.
Wenn der Computer jetzt absolut verseucht wäre und ausgibt "TRUST ME BRO", dann wäre das für dich wahrscheinlich okay, obwohl es genau so wenig aussaugt aber sich besser anfühlt?

Dass deine erste Installation nicht stabil lief, würde ich auch auf die neue Hardware schieben und darauf, dass du offensichtlich nicht alle Treiber und Chipsatz und Co installiert hast. Sieht man ja im Gerätemanager.


Ich hab echt keinen Schimmer wie man hier einen "BIOS-Trojaner" zusammenfanatasieren kann. Wenn du eine Plattform hättest, bei der dir sowas untergejubelt wird, dann kannst du ziemlich sicher sein, dass du es nicht bemerkst und schon gar nicht so vermeintlich offensichtlich.


Du konstruiertst hier einfach etwas, was nicht da ist.

Siehe insbesondere VirusTotal - File_Behavior.pdf

Was genau siehst du da?

 

[Wolfgang.R-357:]

Wenn du nicht von einem Amazon Drittverkäufer oder bei Ebay und Co gekauft hast, sondern von einem renommierten Händler, würde ich mir diesbezüglich weniger sorgen machen.

Firmware von SSDs und USB Sticks manipulieren ist mir bekannt und kommt relativ oft vor, überwiegend bei Geiz ist Geil Fernostkäufen, dazu gibt es regelmäßig Youtube Videos, aber bei BIOSe habe ich dies noch nicht gehört.

 

[rg88]

Firmware von SSDs und USB Sticks manipulieren ist mir bekannt und kommt relativ oft vor, überwiegend bei Geiz ist Geil Fernostkäufen, dazu gibt es regelmäßig Youtube Videos, aber bei BIOSe habe ich dies noch nicht gehört.

Eine Firmware zu manipulieren um mehr Speicher anzuzeigen als vorhanden, dahinter ist auch eine gewisse Intention, wirtschaftlicher Sicht.
Aber das was der TE hier beschreibt ist einfach eine Ansammlung von kruden Vermutungen, die sich alle auf ein Ziel fixiert haben und keines davon irgendwie bestand hat.
Eher so ein Fall von Paranoia oder zumindest grundsätzlichem, übertriebenem Misstrauen.
Sieht man übrigens auch an seinen älteren Beiträgen, wenn auch schon einige Jahre alt, dass hier wohl eher etwas leicht wahnhaftes vorhanden ist, dass man nach solchen Sachen wie Überwachung direkt sucht und quasi überall vermutet

 

[PeterK]

Hi rg88,

zu den angeblich so kruden Vermutungen: ich habe die Scans bei VirusTotal nicht selbst durchgeführt, aber ich finde es schon sehr erstaunlich, was der Zenbox Behavior-Scanner alles gefunden hat. Soviele Details hätte ich mir selbst nie ausdenken können. Diese verdächtige ausführbare Datei im Bios scheint jeden Virus-Scanner zu unterdrücken und deren gefundene Bedrohungen perfekt zu verbergen, aber VirusTotal kann sich natürlich irren. Die entgültige Bewertung überlasse ich mal den "Experten", aber die 88 in deinem User Namen deuten schon auf eine chinesische Glückszahl hin. Du must einfach ein Experte für chinesische Trojaner sein, da bin ich mir ganz sicher, Paranoia hin oder her. Mir ist das schei...egal, ob ich nun von den Chinesen, den Deutschen, den Russen, den Amis oder sonstwem überwacht werde, denn sie tun es alle und Privatphäre gibt es schon lange nicht mehr, wenn man das Internet nutzt.

Wo finde ich den fehlenden Treiber für Trusted Execution ganz genau?

https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem

 

[rg88]

aber ich finde es schon sehr erstaunlich, was der Zenbox Behavior-Scanner alles gefunden hat....Diese verdächtige ausführbare Datei im Bios scheint jeden Virus-Scanner zu unterdrücken und deren gefundene Bedrohungen perfekt zu verbergen, aber VirusTotal kann sich natürlich irren.

Du wirfst irgendwelche Dateien in irgend ein Tool, welches damit nichts anfangen kann und es spuckt dann halt irgendwas aus.
Es spuckt nicht mal aus, dass es was gefährliches ist, aber du interpretierst das rein.

aber die 88 in deinem User Namen deuten schon auf eine chinesische Glückszahl hin. Du must einfach ein Experte für chinesische Trojaner sein, da bin ich mir ganz sicher, Paranoia hin oder her.

Oh, jetzt bin ich vom chinesischen Geheimdienst? Ansonsten wird mir vorgeworfen, dass ich irgendwas mit Nazi sei
Um dich mal (wieder!) auf den Boden der Realität zu holen: Das ist schlicht mein Geburtsjahr. Du kannst dir da bitte 19 davor denken, wenn es besser für dich dann zu verstehen ist und du dich dadurch weniger angegriffen fühlst.

Mir ist das schei...egal, ob ich nun von den Chinesen, den Deutschen, den Russen, den Amis oder sonstwem überwacht werde, denn sie tun es alle und Privatphäre gibt es schon lange nicht mehr, wenn man das Internet nutzt.

Okay... damit wären wir da, was ich vorhin schon so als Vermutung geäußert habe...
Scheinst wohl eine gewisse Paranoia zu haben, aber nicht mehr in dem gesunden Ausmaß anscheinend...
Deine Beiträge von vor 5 Jahren waren schon "interessant", aber jetzt hat sich das wohl noch etwas verstärkt. Tu dir selber einen Gefallen und such dir Hilfe

Wo finde ich den fehlenden Treiber für Trusted Execution ganz genau?

Hm... Googlen und dann einfach bei Intel die entsprechende Hilfe nutzen oder deren Support anschreiben?

Ansonsten anhand der hardware-ID wo anders runterladen, scheint ein Intel Serial irgendwas Treiber zu sein:
https://www.dell.com/support/home/de-de/drivers/driversdetails?driverid=20dw6
https://support.lenovo.com/ee/en/do...or-later-ideacentre-aio-3-24irh9-aio-3-27irh9

BMAX B4 Turbo Mini-PC

btw: Genau mein Humor
Auf Aliexpress in China einen Rechner bestellen und dann sowas ablassen

 

[Sinatra81]

Würde Windows neu installieren und nich reparieren. Dazu auch die Partitionen löschen, vielleicht steckt da irgendwo der Wurm drin.

Virus glaub ich eher nicht.

 

[whats4]

is er zu eng? oder ist es das metall an sich?
wieauchimmer.

jo, clean install. idealerweise durch jemand, der weiss, was er/sie/wasauchimmer tut.

 

[D0m1n4t0r]

wie wärs mit neues bios/uefi vom hersteller runterladen und drüberflashen ? Und anschliessend windows neu installieren und vorher alle partitionen löschen ?

 

[rg88]

wie wärs mit neues bios/uefi vom hersteller runterladen und drüberflashen ?

naja, bei seinem Aliexpress-Ding wird das auch nur die nächste China-Firmware sein und dann springt er genauso im Kreis

 

[midwed]

Mir ist das schei...egal, ob ich nun von den Chinesen, den Deutschen, den Russen, den Amis oder sonstwem überwacht werde, denn sie tun es alle und Privatphäre gibt es schon lange nicht mehr, wenn man das Internet nutzt.

Dann nutz es doch einfach nicht mehr, wenn du eh hinter allem und jedem eine Überwachung / einen Überwacher siehst und das ein Problem für dich ist. Andernfall kann dir ja eine Überwachung via "Trojaner im Bios" egal sein? 😅

Auf Aliexpress in China einen Rechner bestellen und dann sowas ablassen

Jetzt ist quasi alles möglich, auch ein Trojaner im Bios 🤪 🤣

Wenn es wirklich so ist: Warum machst du sowas, @PeterK? Wenn du eh absolut misstrauisch bist was Internet & Co. angeht? Dann einen Rechner in China bestellen und nutzen - das ist halt wirklich ungeschickt.

Wenn du den aber nun trotzdem behalten willst: Die Beiträge #7 bis #9 geben sinnvolle Tipps im Rahmen deiner/der Möglichkeiten.

 

[Joker (AC)]

WENN einem private Sicherheit so wichtig ist, dürfte ein "BMAX B4 Turbo Mini-PC mit Windows 11 günstig gekauft" die falsche Investition sein.
Ich wußte schon immer, dass Comuterbase von chinesischen Doppelagenten infiltriert ist- siehe Beispiel @rg88 .
Gut das man die so einfach identifizierten kann. 😉

 

[KnolleJupp]

Na ja. der Intel N150 auf BGA1264 ist eine relativ neue CPU von Angang dieses Jahr.
Diverse Tools könnten da noch Probleme haben, den richtig zu erkennen.

 

[CerealKiller]

@PeterK
Ich denke auch das Du dir da zuviele Gedanken machst.
Flash das neueste BIOS, wenn verfügbar, und installier Win11 komplett neu und lösche während des Installationsvorganges alle Partitionen.

BIOS Download:
https://www.bmaxit.com/download.html


Microsoft MediaCreationTool zum erstellen eines Installationsmediums für Win11:
https://go.microsoft.com/fwlink/?linkid=2156295


Gruß

 

[Suffren]

Moinsen, ich habe selber einen MiniPC mit einem N100. Seit dem ich die Windows 11 Tiny 11 Version installiert habe läft das ding wesentlich besser. Die Tiny11 ist ein Version die auf viele Sachen verzichtet die kein mensch braucht
und übrigens war es das erste was ich grundsätzlich gemacht habe einmal alle Partitioinen löschen und Win11 komplett neu drauf gepackt.

 

[Sebbi]

Wenn ich sehe, was die Chinabuden alles zusammenklöppeln - wie eine 3070 mit 16 GB DDR RAM, die es nie seitens NV gab - und das alles nur mit eigens umprogrammierten Treibern funktioniert, die auf privaten Shares liegen - na dann prost Mahlzeit bei @PeterK und dem BMAX B4 Turbo Mini-PC

Ich würde mir jedenfalls nichts technisches von "Geschäften" holen, deren Firmenname länger ist als meine gesammte Adresse und deren Anschrift ein halbes A5 Blatt ausfüllt. Also zumindest würde ich dem Teil keine sensiblen Daten anvertrauen.

 

[Uzer1510]

Dann nutz es doch einfach nicht mehr, wenn du eh hinter allem und jedem eine Überwachung / einen Überwacher siehst und das ein Problem für dich ist. Andernfall kann dir ja eine Überwachung via "Trojaner im Bios" egal sein? 😅


Jetzt ist quasi alles möglich, auch ein Trojaner im Bios 🤪 🤣

Wenn es wirklich so ist: Warum machst du sowas, @PeterK? Wenn du eh absolut misstrauisch bist was Internet & Co. angeht? Dann einen Rechner in China bestellen und nutzen - das ist halt wirklich ungeschickt.

Wenn du den aber nun trotzdem behalten willst: Die Beiträge #7 bis #9 geben sinnvolle Tipps im Rahmen deiner/der Möglichkeiten.

Naja das mit den "BIOS" Viren ist ja seit UEFI tatsächlich wieder immer aktueller - zumal doch von einigen sogar der Sourcecode durch die Gegend fliegt. Auch wenn immer gepatcht wird da werden halt dauernd massig neue entwickelt.

https://www.security-insider.de/schadcode-im-uefi-a-1022733/

BlackLotus usw usw die UEFI Viren sind halt nichts Neues mehr und gibt es immer wieder in der freien Wildbahn - auch SecureBoot ist halt immer wieder unter Attacke.

https://winfuture.de/news,134996.html

Man kann halt schlcht abschätzen wie viele davon unterwegs sind, weil man diese natürlich nur schwer finden kann, die laufen ja "unterhalb" von Win, Linux und Co.

Die UEFI Viren/Trojaner sind in dem was man halt so umgangssprachlich als BIOS bezeichnet. Denke dass sich in dem Bereich sehr viel tut weil man halt damit dann das OS im Griff hat, egal was das für Sicherheitssysteme implementiert - UEFI ist halt der sinnvollste Angriff.

 

[JumpingCat]

Einige Stunden später lag dann aber doch ein Ergebnis unter "Behavior" vor, was mir sehr nach dem gesuchten Trojaner aussieht oder was meinen die Malware-Experten hier dazu?

Der gesuchte Trojaner?

Aufgrund dieser Warnung habe ich die Bios-Datei, die laut Defender ca. 470 Files enthält, mit Hilfe von 7zip in ein Unterverzeichnis extrahiert und nach dieser ausführbaren Datei gesucht. Bei der Suche nach Hex $4D5A = "MZ" am Anfang waren fast alle gefundenen Dateien vom Typ ".EFI", nur eine ".RAW" und eine ".DLL" oder ".EXE", aber mit einer anderen Endung: "3.380B6B4F", die mir dann im Hex-Viewer verdächtig erschien. Deshalb habe ich diese Datei in eine ".DLL" umbenannt und nochmals zu Virus Total hochgeladen, aber 73 Scanner fanden wieder nichts

Wieso ist die Datei verdächtig?

 

[TheBeastMaster]

Wie hier @PeterK versucht wird Dinge zu unterstellen ist echt ein Witz, denn seine Vermutung ist nicht unbegründet und sein Vorgehen zu Begin ist durchaus gerechtfertigt.

Chinasysteme kommen auffällig oft mit PKfail Lücke (das Do not trust Zertifikat) zum Kunden. Hier könnte @rg88 vielleicht selbst recherchieren. Das ist hier nämlich nicht das Thema. PKfail ist dein Stichwort. PKfail kann man als Backdoor betrachten die zur Secureboot Umgehung genutzt werden kann. Ebenfalls Auffällig ist das häufige Vorkommen von LOGOfail.

Die Hersteller die ich bisher dazu kontaktiert habe, beheben diesen Umstand nicht, auch nach mehreren Uefi Revisionen findet sich die Lücke weiterhin.

Ich finde man kann hier nicht von Fantasien oder Verschwörungstheorie abzutun wird der Thematik und dem TE nicht gerecht.

Zu der Windows Executeable: hier wird schwierig eine Einschätzung abzugeben. Sogut wie jedes UEFI/BIOS wird dahingehend angemeckert werden. Ohne forensische Untersuchung ist das schwer einzuordnen.

 

[Uzer1510]

Denke auch dass man halt nicht jedem UEFI System mehr so blind vertauen darf wie früher den "alten" BIOS Systemen - das halt schon verrückt. Das einfach alles plattmachen und neu installieren ist nicht mehr ganz so die Lösung für alles.