LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen

Diskutiere LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen im Windows 10 FAQ Forum im Bereich Windows 10 Foren; Wie unzählige Medien in den vergangenen Stunden berichtet haben, befindet sich derzeit ein neuartiger Computer-Virus im Umaluf, welcher auf den...
maniacu22

maniacu22

Erfahrener Benutzer
Threadstarter
Mitglied seit
05.05.2014
Beiträge
2.314
Ort
Leipzig
Version
Windows 10 Pro 64 Bit - Build 1709
System
Intel Core i5-3570K, 32 GB RAM, 500 GB Crucial MX200, HIS Radeon HD 5750 Passiv
Wie unzählige Medien in den vergangenen Stunden berichtet haben, befindet sich derzeit ein neuartiger Computer-Virus im Umaluf, welcher auf den Namen LoJax hört. Laut den Sicherheitsforschern des Antimalware-Herstellers ESET, soll sich LoJax zwar über, aber nicht auf dem Betriebssystem einnisten können, weshalb nahezu kein Antiviren-Programm Alarm schlägt. LoJax schreibt sich mit einem als extrem hoch eingestuften Gefährdungspotential in das BIOS respektive dessen Nachfolger UEFI mit dem Ziel ein, den gesamten Datenverkehr umleiten beziehungsweise mitschneiden zu können. Da eine Erkennung schwierig und durch Umschreiben des UEFI-Chips auch eine Neuinstallation oder gar ein Austausch der Festplatte/SSD keine Abhilfe bringt, soll euch nun dieser Praxis-Tipp verraten, wie man sich gegen LoJax schützen kann




Bildquelle: sectorx.com


In den letzten Stunden sind im Netz mehrere Artikel aufgetaucht, die über eine neue Malware berichten, welche auf den Namen LoJax hört. Bei dem von Sicherheitsforschern des Unternehmens ESET entdeckten UEFI-Rootkit soll es sich um eine Spionage-Software handeln, welche mutmaßlich auf die Hackergruppe Sednit (auch Fancy Bear oder APT28 genannt) zurück geht. Auf das Konto dieser Gruppe sollen unter anderem der Bundesnetz-Hack aus dem vergangenen Jahr sowie auch die Angriffe auf Rechner der Demokratischen Partei während des US-Wahlkampfs 2016 gehen.


Was macht LoJax?


Bei LoJax handelt es sich um ein sogenanntes UEFI-Rootkit, einer komplett neuen Form eines Computervirus, für dessen Infektion kein physischer Zugriff auf dem Ziel-Rechner notwendig ist. Als Grundlage gelten hier bei der Zielperson installierte Trojaner, die wie bei vielen anderen Infektionen auch durch sogenannte Spear-Pishing-Mails aufgespielt werden. Die eigentliche Installation erfolgt dann über ein falsch konfiguriertes oder veraltetes Serial Peripheral Interface (SPI), einer Schnittstelle die zum Beispiel Flash-Speicher anspricht. Dadurch kann die System-Firmware (BIOS/UEFI) überschrieben werden und bei jedem Systemstart weitere schädliche Komponenten nachladen. Dadurch ist es möglich, dass die Schadsoftware Zugriff auf den gesamten Rechner erhält wodurch beispielsweise der Datenverkehr überwacht oder sogar umgeleitet werden kann, ohne dass die Anti-Viren-Software der meisten Nutzer überhaupt etwas bemerkt, da diese in der Regel nur auf Windows-Ebene operiert.

Laut den Sicherheitsexperten von ESET gibt es nur sehr wenige Anbieter wie Kaspersky oder ESET selbst, die Programme im Angebot halten, welche auch das BIOS/UEFI entsprechend nach Schädlingen untersuchen.

Malware wie LoJax ist nicht nur extrem schwierig zu erkennen, sondern übersteht auch eine Windows-Neuinstallation oder auch einen Festplatten/SSD-Austausch, da sich dieses im UEFI/BIOS eingenistet hat.


Wie kann man sich gegen LoJax und kommende Ableger effektiv schützen?


Da sich LoJax wie andere Trojaner auch, über Pishing-Mails und Co. installieren können, stellt der erste Schritt - wie so oft - den Hinweis dar, E-Mails von unbekannten Absendern inklusive deren Anhänge nicht zu öffnen und gleich in den Papierkorb zu verfrachten.
Sollte man trotzdem den Verdacht haben, dass sich LoJax auf dem eigenen Rechner eingenistet hat, kann dies mit der Antiviren-Software aus dem Hause ESET überprüft werden und bei Bestätigung das BIOS / UEFI mit einer aktuellen Firmware überschrieben werden. Generell empfiehlt ESET, sich in regelmäßigen Abständen auf den Herstellerseiten der Mainboards oder auch Notebooks nach den neuesten BIOS / UEFI-Versionen zu informieren und die Rechner entsprechend up-to-date zu halten.

Sollte für den eigenen Rechner allerdings kein entsprechendes Update zur Verfügung stehen, soll laut ESET dann nur noch ein Austausch des kompletten Mainboards helfen, was in den meisten Fällen mit dem Austausch des nahezu kompletten PCs einhergeht.

Meinung des Autors: Und wieder eine neue Art von Virus, welche man im worst case nicht einmal mitbekommen muss. Auch wenn es für die meisten PCs immer noch entsprechende BIOS/UEFI-Updates gibt, stehen diejenigen mit älteren, nicht mehr unterstützten Systemen ganz schön im Regen.
 
#
Schau dir mal diesen Ratgeber an. Dort wird jeder fündig!
Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
M

Mediamann

Erfahrener Benutzer
Mitglied seit
25.05.2015
Beiträge
918
Ort
Umgebung Ulm
Version
Windows 10 Pro 1903
System
2 Desktop - 1 Tablet
Wenn sich der Virus jedoch im Prozessor breit gemacht hat gibt es so wie ich mitbekommen habe, keine Lösung bis jetzt.
 
areiland

areiland

Super-Moderator
Mitglied seit
25.08.2014
Beiträge
26.186
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
Da macht sich kein Virus im Prozessor breit - das geht schlicht und einfach nicht. Lojax legt eine Routine im UEFI ab, die ihrerseits beim Rechnerstart eine Exe ins System einfügt, die den eigentlichen Schädling ausmacht. Wenn man Secure Boot an, ein halbwegs aktuelles UEFI drauf hat, auch sonst aktuell ist und nicht jeden E-Mail Anhang öffnet, dann ist man relativ sicher. Selbst dann muss man dann noch eine UAC Abfrage bestätigen, weil dieser Virus nämlich Adminrechte benötigt um sich einzunisten. Ausserdem ist dieser Schädling schon länger bekannt und wurde bisher dafür verwendet, um Behörden und Regierungsstellen anzugreifen. In den aktuellen Definitionen der Virenscanner sollte er deshalb auch enthalten sein.

Ich vermute eher, dass Eset ein wenig Panikmache betreibt, um seinen UEFI Scanner anzupreisen.
 
areiland

areiland

Super-Moderator
Mitglied seit
25.08.2014
Beiträge
26.186
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
Das wird vermutlich nichts helfen, da der Virus sich vom OS aus ins UEFI flashen kann.
 
M

Mediamann

Erfahrener Benutzer
Mitglied seit
25.05.2015
Beiträge
918
Ort
Umgebung Ulm
Version
Windows 10 Pro 1903
System
2 Desktop - 1 Tablet
Da haben die im TV Bericht Unsinn geredet. Man sah im Bericht auf einer Grafik die Chips CPU - GPU und Bios die infiziert werden können.
 
areiland

areiland

Super-Moderator
Mitglied seit
25.08.2014
Beiträge
26.186
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
Die haben wohl Spectre/Meltown und LoJax in einen Topf geworfen.
 
Heinz

Heinz

Erfahrener Benutzer
Mitglied seit
01.09.2017
Beiträge
3.023
Ort
Indonesia
Version
Insider
System
Toshiba NB
Da ich UEFI Secure Boot aktiviert habe,denke ich,ich bin relativ sicher,da das startende OS auch auf Rootkits gecheckt wird.Oder sehe ich das zu blauäugig?
Auch kann ich jederzeit im Windows Defender den integrierten Offline Scan starten,wenn ich einen Verdacht hege.
Dazu muss man sich keinen Fremdscanner wie ESET aufschwatzen lassen die gezielt unbegründete Ängste erzeugen, um Produkte an den Mann zu bringen.
PS. Ich weiss natürlich dass Secure Boot bei Multiboot diverser OS leider nicht geht.
 
Zuletzt bearbeitet:
runit

runit

Erfahrener Benutzer
Mitglied seit
18.11.2015
Beiträge
6.580
Version
.............1909 Pro 64 bit Build 18363.476
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe 256 GB, Intel Graphic UHD 630
Der Defender macht keinen UEFI-Scan. Secure Boot hat damit herzlich wenig zu tun. Das sorgt nur dafür, dass keine fremden Medien gebootet werden können.

Es geht hierbei nicht um Rootkits, die beim Booten Schaden anrichten, sondern um einen im Bios eingenisteten Schädling. Dieser wird vom System aus mittels eines Trojaners in das Bios geschickt. Die präventive Maßnahme wäre also, diesen Trojaner zu entdecken bzw. vom System fernzuhalten. Ist das UEFI infiziert, gibt es eben nur wenig Möglichkeit, ihn wieder aus dem Bios zu bekommen.
 
Zuletzt bearbeitet:
N

nirdan

Benutzer
Mitglied seit
21.08.2015
Beiträge
85
Version
Windows 10 Pro
System
MSI B450-A PRO, Ryzen 5 2600 Box, 16 GB DDR4-3000 G.Skill Aegis, MSI GeForce GTX 1050
Ein ausgewählter Scan scheint weder bei Eset, noch Kaspersky möglich zu sein. Da ich Kaspersky nutze, habe ich das gleich mal kontrolliert. Mir ist auch nicht bewusst, dass ich irgenwann mal etwas von einem Bios Scan gelesen habe.
 
Heinz

Heinz

Erfahrener Benutzer
Mitglied seit
01.09.2017
Beiträge
3.023
Ort
Indonesia
Version
Insider
System
Toshiba NB
Hallo runit
Ich dachte dabei auch nur an vorbeugende Massnahmen,damit der Dreck möglichst gar nicht erst den Weg ins BIOS findet.
Liege ich da auch falsch?
 
runit

runit

Erfahrener Benutzer
Mitglied seit
18.11.2015
Beiträge
6.580
Version
.............1909 Pro 64 bit Build 18363.476
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe 256 GB, Intel Graphic UHD 630
Moin Heinz,

wie @Alex schrieb, sollte der Trojaner bekannt sein und in den Virendefinitionen enthalten sein. Die größte Gefahr besteht wohl über Pishing Mails etc, wie bei Spectre auch.

Dies ist ja nun auch eine neue Form von Virus. Waren bisher die Boot-Rootkits am gefährlichsten (sind natürlich immer noch gefährlich) haben sich die meisten AV-Lösungen diesen aber angenommen. Das ESET bei dieser neuen Bedrohung, einem UEFI-Rootkit, als einer der ersten Anbieter sich diesem Problem wirkungsvoll angenommen hat, ist zur Zeit ein Pfund, mit dem ESET "protzen" kann.

Ich denke, es ist eine Frage der Zeit, bis andere AV-Anbieter das genauso in ihrem Leistungsumfang haben werden. Ich denke auch, dass auch der Defender im Laufe der Zeit darauf eingestellt wird.
 
Zuletzt bearbeitet:
areiland

areiland

Super-Moderator
Mitglied seit
25.08.2014
Beiträge
26.186
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
So neu ist der nicht! Er oder ein Ableger wurde wohl sogar beim Hack des Bundestags in 2015 eingesetzt.
 
Thema:

LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen

Sucheingaben

computervirus Lojax

,

windows 10 virus in uefi

,

lojax auf uefi bios,wie handeln

LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen - Ähnliche Themen

  • UEFI oder BIOS ?

    UEFI oder BIOS ?: Tach allerseits, kann ich davon ausgehen, daß dieser Rechner nicht im UEFI-Modus operiert ? Sh. Bezeichnung "BIOS-Version".
  • Bios UEFI Einstellen

    Bios UEFI Einstellen: Hi, Ich habe heute einen HP Laptop gekauft mit FreeDos. Da ich 2 x Windows 10 Pro gekauft habe. Wo stelle ich da bei der Installatio UEFI ein.
  • Surface 2 - Einstieg in UEFI nicht möglich

    Surface 2 - Einstieg in UEFI nicht möglich: Hallo liebe Community, ich versuche gerade das alte Surface 2 meines Cousins wieder zum Laufen zu bringen. Beim Starten wechselt es nach der...
  • BIOS / UEFI Aufruf nicht möglich

    BIOS / UEFI Aufruf nicht möglich: Nach einer Neuinstallation von WIN 10 ( ohne vorher Probleme gehabt zu haben ) ist ein BIOS Aufruf nicht mehr möglich. Die Installation ist ganz...
  • Lojax, Defender und das UEFI-BIOS

    Lojax, Defender und das UEFI-BIOS: n'Tag zusammen, der Lojax hat mich aufgeschreckt, siehe hier...
  • Ähnliche Themen

    • UEFI oder BIOS ?

      UEFI oder BIOS ?: Tach allerseits, kann ich davon ausgehen, daß dieser Rechner nicht im UEFI-Modus operiert ? Sh. Bezeichnung "BIOS-Version".
    • Bios UEFI Einstellen

      Bios UEFI Einstellen: Hi, Ich habe heute einen HP Laptop gekauft mit FreeDos. Da ich 2 x Windows 10 Pro gekauft habe. Wo stelle ich da bei der Installatio UEFI ein.
    • Surface 2 - Einstieg in UEFI nicht möglich

      Surface 2 - Einstieg in UEFI nicht möglich: Hallo liebe Community, ich versuche gerade das alte Surface 2 meines Cousins wieder zum Laufen zu bringen. Beim Starten wechselt es nach der...
    • BIOS / UEFI Aufruf nicht möglich

      BIOS / UEFI Aufruf nicht möglich: Nach einer Neuinstallation von WIN 10 ( ohne vorher Probleme gehabt zu haben ) ist ein BIOS Aufruf nicht mehr möglich. Die Installation ist ganz...
    • Lojax, Defender und das UEFI-BIOS

      Lojax, Defender und das UEFI-BIOS: n'Tag zusammen, der Lojax hat mich aufgeschreckt, siehe hier...
    Oben