• LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen

    Wie unzählige Medien in den vergangenen Stunden berichtet haben, befindet sich derzeit ein neuartiger Computer-Virus im Umaluf, welcher auf den Namen LoJax hört. Laut den Sicherheitsforschern des Antimalware-Herstellers ESET, soll sich LoJax zwar über, aber nicht auf dem Betriebssystem einnisten können, weshalb nahezu kein Antiviren-Programm Alarm schlägt. LoJax schreibt sich mit einem als extrem hoch eingestuften Gefährdungspotential in das BIOS respektive dessen Nachfolger UEFI mit dem Ziel ein, den gesamten Datenverkehr umleiten beziehungsweise mitschneiden zu können. Da eine Erkennung schwierig und durch Umschreiben des UEFI-Chips auch eine Neuinstallation oder gar ein Austausch der Festplatte/SSD keine Abhilfe bringt, soll euch nun dieser Praxis-Tipp verraten, wie man sich gegen LoJax schützen kann



    https://www.win-10-forum.de/artikel-attachments/22380-uefi.jpg
    Bildquelle: sectorx.com


    In den letzten Stunden sind im Netz mehrere Artikel aufgetaucht, die über eine neue Malware berichten, welche auf den Namen LoJax hört. Bei dem von Sicherheitsforschern des Unternehmens ESET entdeckten UEFI-Rootkit soll es sich um eine Spionage-Software handeln, welche mutmaßlich auf die Hackergruppe Sednit (auch Fancy Bear oder APT28 genannt) zurück geht. Auf das Konto dieser Gruppe sollen unter anderem der Bundesnetz-Hack aus dem vergangenen Jahr sowie auch die Angriffe auf Rechner der Demokratischen Partei während des US-Wahlkampfs 2016 gehen.



    Was macht LoJax?



    Bei LoJax handelt es sich um ein sogenanntes UEFI-Rootkit, einer komplett neuen Form eines Computervirus, für dessen Infektion kein physischer Zugriff auf dem Ziel-Rechner notwendig ist. Als Grundlage gelten hier bei der Zielperson installierte Trojaner, die wie bei vielen anderen Infektionen auch durch sogenannte Spear-Pishing-Mails aufgespielt werden. Die eigentliche Installation erfolgt dann über ein falsch konfiguriertes oder veraltetes Serial Peripheral Interface (SPI), einer Schnittstelle die zum Beispiel Flash-Speicher anspricht. Dadurch kann die System-Firmware (BIOS/UEFI) überschrieben werden und bei jedem Systemstart weitere schädliche Komponenten nachladen. Dadurch ist es möglich, dass die Schadsoftware Zugriff auf den gesamten Rechner erhält wodurch beispielsweise der Datenverkehr überwacht oder sogar umgeleitet werden kann, ohne dass die Anti-Viren-Software der meisten Nutzer überhaupt etwas bemerkt, da diese in der Regel nur auf Windows-Ebene operiert.


    Laut den Sicherheitsexperten von ESET gibt es nur sehr wenige Anbieter wie Kaspersky oder ESET selbst, die Programme im Angebot halten, welche auch das BIOS/UEFI entsprechend nach Schädlingen untersuchen.


    Malware wie LoJax ist nicht nur extrem schwierig zu erkennen, sondern übersteht auch eine Windows-Neuinstallation oder auch einen Festplatten/SSD-Austausch, da sich dieses im UEFI/BIOS eingenistet hat.



    Wie kann man sich gegen LoJax und kommende Ableger effektiv schützen?



    Da sich LoJax wie andere Trojaner auch, über Pishing-Mails und Co. installieren können, stellt der erste Schritt - wie so oft - den Hinweis dar, E-Mails von unbekannten Absendern inklusive deren Anhänge nicht zu öffnen und gleich in den Papierkorb zu verfrachten.

    Sollte man trotzdem den Verdacht haben, dass sich LoJax auf dem eigenen Rechner eingenistet hat, kann dies mit der Antiviren-Software aus dem Hause ESET überprüft werden und bei Bestätigung das BIOS / UEFI mit einer aktuellen Firmware überschrieben werden. Generell empfiehlt ESET, sich in regelmäßigen Abständen auf den Herstellerseiten der Mainboards oder auch Notebooks nach den neuesten BIOS / UEFI-Versionen zu informieren und die Rechner entsprechend up-to-date zu halten.


    Sollte für den eigenen Rechner allerdings kein entsprechendes Update zur Verfügung stehen, soll laut ESET dann nur noch ein Austausch des kompletten Mainboards helfen, was in den meisten Fällen mit dem Austausch des nahezu kompletten PCs einhergeht.

    Gefällt dir der Artikel

    LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen

    ?

    Meinung des Autors
    Und wieder eine neue Art von Virus, welche man im worst case nicht einmal mitbekommen muss. Auch wenn es für die meisten PCs immer noch entsprechende BIOS/UEFI-Updates gibt, stehen diejenigen mit älteren, nicht mehr unterstützten Systemen ganz schön im Regen.Jetzt kommentieren!
    Hinweise & Tipps:

    1. Lade dir unsere Windows-10-App herunter, um bei einem neuen Artikel eine Push-Benachrichtung auf deinem Smartphone / Tablet / Desktop-PC zu erhalten
    2. Oder folge uns auf Facebook, Google oder Twitter um keinen News- oder Tipp-Artikel mehr zu verpassen
    3. Besuche unseren Artikel Windows 10 Fragen und Antworten für Neueinsteiger
    4. Sofern du eine bestimmte Frage zu Windows 10 hast, stelle sie einfach direkt hier
    « Windows 10 PC oder Laptop mit Shortcut oder Tastenkombination in den Standby Modus versetzenWindows 10 Oktober 2018 Update (1809): aktiviertes IPv6-Profil nötig, damit Edge-Browser, Apps sowie Store weiterhin funktionieren »
    Ähnliche News zum Artikel

    LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen

    Firefox: gespeicherte Zugangsdaten mit Master-Passwort schützen - so geht es
    Ein eigenes Passwort für jedes Benutzerkonto - da kann man schnell den Überblick verlieren. Der Browser Firefox bietet deshalb die... mehr
    Windows 10 gegen NSA-Sicherheitslücken schützen - so haben WannaCry und Co. keine Chance mehr
    Erst kürzlich berichteten wir über den Erpresservirus WannaCry, der die infizierten Windows-PCs beziehungsweise die Benutzer aufforderte,... mehr
    Windows 10 Fall Creators Update: "Controlled Folder Access" soll Daten vor Manipulation durch Ransomware & co. schützen können
    Da in jüngster Vergangenheit die Übergriffe durch Erpressersoftware wie Ransomware & Co. immer mehr zugenommen haben, wurden in Redmond nun... mehr
    Microsoft schließt gefährliche RCE-Sicherheitslücke in der Malware Protection Engine
    Durch das aktuelle kumulative Update KB4016240 schließt Microsoft eine gefährliche Sicherheitslücke, die sich in der Malware Protection... mehr
    Google Chrome: Zugriff durch Passwort schützen - so funktioniert’s
    Um persönliche Daten wie Lesezeichen oder der im Browser gespeicherte Facebook-Account vor unbefugten Zugriffen zu schützen, kann Google... mehr

    LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen

    – deine Meinung ?
    Kommentare
    1. Avatar von Mediamann
      Mediamann -
      Wenn sich der Virus jedoch im Prozessor breit gemacht hat gibt es so wie ich mitbekommen habe, keine Lösung bis jetzt.
    1. Avatar von areiland
      areiland -
      Da macht sich kein Virus im Prozessor breit - das geht schlicht und einfach nicht. Lojax legt eine Routine im UEFI ab, die ihrerseits beim Rechnerstart eine Exe ins System einfügt, die den eigentlichen Schädling ausmacht. Wenn man Secure Boot an, ein halbwegs aktuelles UEFI drauf hat, auch sonst aktuell ist und nicht jeden E-Mail Anhang öffnet, dann ist man relativ sicher. Selbst dann muss man dann noch eine UAC Abfrage bestätigen, weil dieser Virus nämlich Adminrechte benötigt um sich einzunisten. Ausserdem ist dieser Schädling schon länger bekannt und wurde bisher dafür verwendet, um Behörden und Regierungsstellen anzugreifen. In den aktuellen Definitionen der Virenscanner sollte er deshalb auch enthalten sein.

      Ich vermute eher, dass Eset ein wenig Panikmache betreibt, um seinen UEFI Scanner anzupreisen.
    1. Avatar von ungarnjoker
      ungarnjoker -
      Es würde vermutlich auch was nützen, den BIOS/UEFI-Zugang durch ein Passwort zu schützen.
    1. Avatar von areiland
      areiland -
      Das wird vermutlich nichts helfen, da der Virus sich vom OS aus ins UEFI flashen kann.
    1. Avatar von Mediamann
      Mediamann -
      Da haben die im TV Bericht Unsinn geredet. Man sah im Bericht auf einer Grafik die Chips CPU - GPU und Bios die infiziert werden können.
    1. Avatar von areiland
      areiland -
      Die haben wohl Spectre/Meltown und LoJax in einen Topf geworfen.
    1. Avatar von Heinz
      Heinz -
      Da ich UEFI Secure Boot aktiviert habe,denke ich,ich bin relativ sicher,da das startende OS auch auf Rootkits gecheckt wird.Oder sehe ich das zu blauäugig?
      Auch kann ich jederzeit im Windows Defender den integrierten Offline Scan starten,wenn ich einen Verdacht hege.
      Dazu muss man sich keinen Fremdscanner wie ESET aufschwatzen lassen die gezielt unbegründete Ängste erzeugen, um Produkte an den Mann zu bringen.
      PS. Ich weiss natürlich dass Secure Boot bei Multiboot diverser OS leider nicht geht.
    1. Avatar von runit
      runit -
      Der Defender macht keinen UEFI-Scan. Secure Boot hat damit herzlich wenig zu tun. Das sorgt nur dafür, dass keine fremden Medien gebootet werden können.

      Es geht hierbei nicht um Rootkits, die beim Booten Schaden anrichten, sondern um einen im Bios eingenisteten Schädling. Dieser wird vom System aus mittels eines Trojaners in das Bios geschickt. Die präventive Maßnahme wäre also, diesen Trojaner zu entdecken bzw. vom System fernzuhalten. Ist das UEFI infiziert, gibt es eben nur wenig Möglichkeit, ihn wieder aus dem Bios zu bekommen.
    1. Avatar von nirdan
      nirdan -
      Ein ausgewählter Scan scheint weder bei Eset, noch Kaspersky möglich zu sein. Da ich Kaspersky nutze, habe ich das gleich mal kontrolliert. Mir ist auch nicht bewusst, dass ich irgenwann mal etwas von einem Bios Scan gelesen habe.
    1. Avatar von Heinz
      Heinz -
      Hallo runit
      Ich dachte dabei auch nur an vorbeugende Massnahmen,damit der Dreck möglichst gar nicht erst den Weg ins BIOS findet.
      Liege ich da auch falsch?
    1. Avatar von Robbie
      Robbie -
      Zitat Zitat von nirdan Beitrag anzeigen
      Ein ausgewählter Scan scheint weder bei Eset, noch Kaspersky möglich zu sein.
      Bei Eset etwas versteckt, da man den manuellen Scan auswählen muss, um es zu finden.

      Anhang 22390
    1. Avatar von runit
      runit -
      Moin Heinz,

      wie @Alex schrieb, sollte der Trojaner bekannt sein und in den Virendefinitionen enthalten sein. Die größte Gefahr besteht wohl über Pishing Mails etc, wie bei Spectre auch.

      Dies ist ja nun auch eine neue Form von Virus. Waren bisher die Boot-Rootkits am gefährlichsten (sind natürlich immer noch gefährlich) haben sich die meisten AV-Lösungen diesen aber angenommen. Das ESET bei dieser neuen Bedrohung, einem UEFI-Rootkit, als einer der ersten Anbieter sich diesem Problem wirkungsvoll angenommen hat, ist zur Zeit ein Pfund, mit dem ESET "protzen" kann.

      Ich denke, es ist eine Frage der Zeit, bis andere AV-Anbieter das genauso in ihrem Leistungsumfang haben werden. Ich denke auch, dass auch der Defender im Laufe der Zeit darauf eingestellt wird.
    1. Avatar von areiland
      areiland -
      So neu ist der nicht! Er oder ein Ableger wurde wohl sogar beim Hack des Bundestags in 2015 eingesetzt.
    Kommentar schreiben

    z.B. "Gast" oder "Mike"