Warum geht der Virus so unelegant vor?
Könnten Programmierer aus dem Forum bitte hier Stellung nehmen?
Also so wie ich das verstanden habe, wird vom Virus erst Windows infiziert, von da aus das das BIOS (UEFI) angegriffen, also soll heißen geflasht, und so der Virus dort (permanent) verankert.
Beim nächsten Neustart schreibt er dann die Datei "autoche.exe" auf die Festplatte und fügt sie in die Autostartliste von Windows, somit ist der Virus jetzt aktiv.
So weit so gut!
Aber ist das nicht sehr unelegant?
Ich meine klar es geht, aber man hat eine extra Datei, die verdächtig ist und von Virenscannern gefunden werden kann?
Was meinen hier anwesende System- und OS-Programmierer dazu?
Ich meine WENN MAN SCHON im BIOS (UEFI) ist, hat man ja "God-Mode"!
Das ist ja das erste was startet auf dem PC, da kann ich ja ALLES machen! Windows und Virenscanner sind ja noch nicht aktiv!
------------------------------------------------------------------------------------------------------
(1) Warum dann eine extra Datei anlegen?
Wenn ich schon jede Datei auf Platte schreiben kann (OS und VirS sind ja beim Start noch nicht aktiv - ich kann also alles manipulieren!)
Könnte ich nicht auch gleich den Virus in eine Windows-Startdatei schreiben, also die "WIN.EXE", "WININIT.EXE" oder "WINLOGON.EXE" oder wie das heißt? (bin nicht auf dem Laufenden)
Das wäre doch viel eleganter, dann hat man DIEREKT Windows übernommen?
------------------------------------------------------------------------------------------------------
(2) Warum überhaupt Windows infizieren?
Wenn ich im BIOS bin, habe ich doch schon alles, was ich will. Alle relevanten Funktionen des OS laufen doch über das BIOS? Also z.B. alle IO-Funktionen, alle Lese- und Schreib-Funktionen und alles sonst. Da kann ich doch schon alles machen?
Ein geschickter Programmierer könnte doch über ein infiziertes BIOS das Virus zu Windows parallel laufen lassen, ohne Windows nochmal extra zu infizieren?
------------------------------------------------------------------------------------------------------
(3) Meines Wissens gibt es sogar eine extra Prozessorfunktion, die das erledigt, so daß auch "nicht so clevere" Programmierer das hinbekommen. Das nennt sich "System Management Mode" (abgekürzt SMM).
Damit kann das BIOS parallel zum OS (Windows, Linux, etc.) beliebige Tasks laufen lassen, ohne das OS zu stören und sogar ohne daß sie das OS überhaupt sehen kann. Ja das ist so, einfach mal googeln.
Also so eine art Multitasking, nur halt unsichtbar. (Tatsächlich ist es sogar fast unmöglich festzustellen, ob was in diesem Moment im SMM läuft auf deinem PC läuft, so unsichtbar ist das.)
Es wird nicht als Task im Taskmanager angezeigt, und so unglaublich das auch klingt, auch nicht als Prozessorlast im Taskmanager!
Alle Intel (und AMD) Prozessoren seit 1990 haben das, soweit ich weiß (müßte das Jahr jetzt nochmal checken, ab wann es SMM gibt, aber darum gehts jetzt hier nicht).
Das kann der Virus doch machen, wenn er eh schon im BIOS ist. Dann läßt der Virus einfach ne schlanke Linux-Umgebung parallel zu Windows laufen "in dem extra Task". Im UEFI ist ja genug Platz und auf nem schnellem System (Quadcore) merkst du das nicht.
Das ist doch viel eleganter?
------------------------------------------------------------------------------------------------------
Wozu da eine extra Datei anlegen, die auch noch behindert klingt?
"AutoChe" ich bitte euch? So wie touché oder was?
Das ist doch total verdächtig!
Es gibt ja auch keine Datei CheDisk.exe oder FileChe.exe oder was?
Als nächstes CheGuevara.exe?
Aber ernstaft jetzt, kann mich da ein anwesender Entwickler aufklären?
Könnten da Programmierer hier aus dem Forum dazu Stellung nehmen, warum das Virus das so unelegant macht?
ich meine, wenn man schon ein UEFI infiziert, das ist ja ne riesen Aktion, also macht doch keinen Sinn oder?
Das Posting wurde vom Benutzer editiert (27.09.2018 20:56).