BIOS Write Protection / Virus

[------]

Hallöchen

Ich habe eine kurze Frage zu Viren welche sich im BIOS einnisten.

Ich habe wiederholt das Problem das Passwörter, welche ich nur an meinem Rechner eingebe, kompromittiert werden.

 

Explizit geht es um ein Passwort welches ich ein einziges mal am Rechner eingegeben habe und nicht ausgesprochen habe oder woanders eingegeben habe.

Abgesehen von einer Man-In-The-Middle Attack auf mein WIFI, kommt mir direkt noch ein Virus auf dem Rechner direkt in den Kopf. Ich habe ihn schon 2/3 mal neuinstalliert.

Da dies das Problem nicht löst und weiterhin Passwörter kompromittiert werden, musste ich an einen Virus denken, welcher sich im BIOS einnistet.

Beim Googeln hab ich jetzt gelesen, das es eine CMOS Write Protection Screw gibt. Ich verstehe das so, das Sie im eingeschraubten Zustand Kontakte brückt welche das BIOS dann vorm beschreiben/manipulieren schützen. Richtig?

 

Ich habe ein Lenovo IdeaPad 3 und frage mich nun wo dort diese Schraube ist, falls Sie existiert. Und wie ich herausfinde ob das BIOS Manipuliert wurde.

Gibt es ein Log im Bios, wann was angepasst wurde oder wann es neu geflashed wurde?

Wenn ja, wie kann ich dies einsehen?

 

Ich habe mal ein Bild vom inneren meines Laptops gemacht. Vllt kann mir da jemand die Frage zur CMOS Write Protection Screw beantworten.

Eventuell könnte auch mal jemand, falls möglich, anhand des Bildes drüber schauen ob die Hardware anderweitig manipuliert aussieht.

 

Vielen Dank schonmal

Auch wenn ich nicht oder nicht auf jede Nachricht/Antwort antworten kann/werde, freu ich mich über jeden Tipp

 

 

[BurningBeard]

Hallo,

es gibt hier mMn einiges zu entpacken.

vor 8 Stunden schrieb ------:

Ich habe wiederholt das Problem das Passwörter, welche ich nur an meinem Rechner eingebe, kompromittiert werden.

in Verbund mit

vor 8 Stunden schrieb ------:

Abgesehen von einer Man-In-The-Middle Attack auf mein WIFI, kommt mir direkt noch ein Virus auf dem Rechner direkt in den Kopf. Ich habe ihn schon 2/3 mal neuinstalliert.

lässt vermuten, dass es sich um einen Online-Account handelt, dessen Passwort kompromittiert wird. Falls dem so ist, kannst du sicher sein, dass nicht der Account an sich (z.B. E-Mail Weiterleitung an Dritte) dauerhaft kompromittiert ist und hast du auch jedes Mal das Passwort geändert? Korrekt geändert, also nicht nur um 1 inkrementiert oder so etwas.

Wie macht sich das bei dir bemerkbar, dass dieses Passwort kompromittiert ist?

vor 8 Stunden schrieb ------:

Beim Googeln hab ich jetzt gelesen, das es eine CMOS Write Protection Screw gibt. Ich verstehe das so, das Sie im eingeschraubten Zustand Kontakte brückt welche das BIOS dann vorm beschreiben/manipulieren schützen. Richtig?

Wäre mir nur von Chromebooks bekannt und auf anderen Systemen neu für mich. Grundsätzlich ist dies aber das Konzept dabei.

 

vor 8 Stunden schrieb ------:

Ich habe ein Lenovo IdeaPad 3 und frage mich nun wo dort diese Schraube ist, falls Sie existiert. Und wie ich herausfinde ob das BIOS Manipuliert wurde.

Gibt es ein Log im Bios, wann was angepasst wurde oder wann es neu geflashed wurde?

Da es sich nicht um ein Chromebook handelt wird es diese Schraube zumindest wohl nicht geben. Du kannst sonst im Handbuch für das Mainboard nachsehen, ob eine Hardwarekomponenten dafür vorgesehen ist.

Grundsätzlich vertrete ich die Einstellung, dass man sich nicht auf die Aussagen eines möglicherweise kompromittierten Systems verlassen sollte. Das betrifft OS wie auch BIOS. Wenn sich jemand Zugriff verschafft hat, manipuliert er womöglich auch die Logs. Um das Ding dann loszuwerden wäre der Weg ähnlich wie bei OS-Befall: Plattmachen. Unter Berücksichtigung der allgemein gültigen Vorsichtsmaßnahmen beim BIOS-Flash.

vor 8 Stunden schrieb ------:

Eventuell könnte auch mal jemand, falls möglich, anhand des Bildes drüber schauen ob die Hardware anderweitig manipuliert aussieht.

Das dürfte so ziemlich unmöglich sein, das mit einem Bild bestimmen zu können (Eine Manipulation mal ausgenommen wie: "Da steckt ein Schraubendreher im Chip")

Nochmal eine andere Frage dazu: Woher stammt das Gerät? Ist das Neuware, frisch gekauft, seit jeher in deinem Besitz, oder gerade gebraucht auf Ebay gekauft?

[allesweg]

vor 9 Stunden schrieb ------:

das BIOS dann vorm beschreiben/manipulieren schützen. [...]

Ich habe ein Lenovo IdeaPad 3

https://gprivate.com/6721f

[alex123321]

Sorry, aber das ist doch quatsch.

Setz deinen Rechner neu auf, änder deine Passwörter (insbesondere für deine Mail Accounts) und nutze einen Passwortmanager + 2FA. Und verbastel weder Hardware noch Software.

Möglich wäre dass du entweder infizierte Browser Extensions nutzt oder auf Phishing Links reinfällst.

Bearbeitet 5. Oktober 2023 von alex123321

[charmanta]

das Hardwarehandbuch zu dem Gerät zeigt keinen Hinweis auf diese (unsinnige!) Schraube

vor 1 Stunde schrieb BurningBeard:

Um das Ding dann loszuwerden wäre der Weg ähnlich wie bei OS-Befall: Plattmachen.

Das ist der Weg. Die Wahrscheinlichkeit dass das Kennwort Scheisse ist ist viel grösser als dass das Board infiziert ist

[CrazyS.]

Bios kann man doch auf Werkeinstellung zurück setzen wenn man die Batterie neu einsetzt. Zumindest hatte ich das damals so gemacht gehabt aber dabei ging es um ein anderen Grund.

[Dr. Octagon]

vor 20 Stunden schrieb ------:

Explizit geht es um ein Passwort welches ich ein einziges mal am Rechner eingegeben habe und nicht ausgesprochen habe oder woanders eingegeben habe.

Ich gehe jetzt mal davon aus, dass Du auch für jeden Dienst ein eigenes Passwort nutzt... best practice und so.  Also, nun gehen wir zusammen davon aus, dass es nur einen Dienst betreffen kann. Dort ist das Leck. Ansonsten bitte für jeden Dienst ein eigenes Passwort anlegen... für die Zukunft.

Und wie schon zuvor gefragt: Wann/Wie/Wodurch bemerkst Du eigentlich, dass das eine neue Passwort bekannt wurde?