LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen

Diskutiere LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen im Windows 10 FAQ Forum im Bereich Windows 10 Foren; Wie unzählige Medien in den vergangenen Stunden berichtet haben, befindet sich derzeit ein neuartiger Computer-Virus im Umaluf, welcher auf den...
maniacu22

maniacu22

Erfahrener Benutzer
Threadstarter
Dabei seit
05.05.2014
Beiträge
2.314
Ort
Leipzig
Version
Windows 10 Pro 64 Bit - Build 1709
System
Intel Core i5-3570K, 32 GB RAM, 500 GB Crucial MX200, HIS Radeon HD 5750 Passiv
Wie unzählige Medien in den vergangenen Stunden berichtet haben, befindet sich derzeit ein neuartiger Computer-Virus im Umaluf, welcher auf den Namen LoJax hört. Laut den Sicherheitsforschern des Antimalware-Herstellers ESET, soll sich LoJax zwar über, aber nicht auf dem Betriebssystem einnisten können, weshalb nahezu kein Antiviren-Programm Alarm schlägt. LoJax schreibt sich mit einem als extrem hoch eingestuften Gefährdungspotential in das BIOS respektive dessen Nachfolger UEFI mit dem Ziel ein, den gesamten Datenverkehr umleiten beziehungsweise mitschneiden zu können. Da eine Erkennung schwierig und durch Umschreiben des UEFI-Chips auch eine Neuinstallation oder gar ein Austausch der Festplatte/SSD keine Abhilfe bringt, soll euch nun dieser Praxis-Tipp verraten, wie man sich gegen LoJax schützen kann




Bildquelle: sectorx.com


In den letzten Stunden sind im Netz mehrere Artikel aufgetaucht, die über eine neue Malware berichten, welche auf den Namen LoJax hört. Bei dem von Sicherheitsforschern des Unternehmens ESET entdeckten UEFI-Rootkit soll es sich um eine Spionage-Software handeln, welche mutmaßlich auf die Hackergruppe Sednit (auch Fancy Bear oder APT28 genannt) zurück geht. Auf das Konto dieser Gruppe sollen unter anderem der Bundesnetz-Hack aus dem vergangenen Jahr sowie auch die Angriffe auf Rechner der Demokratischen Partei während des US-Wahlkampfs 2016 gehen.


Was macht LoJax?


Bei LoJax handelt es sich um ein sogenanntes UEFI-Rootkit, einer komplett neuen Form eines Computervirus, für dessen Infektion kein physischer Zugriff auf dem Ziel-Rechner notwendig ist. Als Grundlage gelten hier bei der Zielperson installierte Trojaner, die wie bei vielen anderen Infektionen auch durch sogenannte Spear-Pishing-Mails aufgespielt werden. Die eigentliche Installation erfolgt dann über ein falsch konfiguriertes oder veraltetes Serial Peripheral Interface (SPI), einer Schnittstelle die zum Beispiel Flash-Speicher anspricht. Dadurch kann die System-Firmware (BIOS/UEFI) überschrieben werden und bei jedem Systemstart weitere schädliche Komponenten nachladen. Dadurch ist es möglich, dass die Schadsoftware Zugriff auf den gesamten Rechner erhält wodurch beispielsweise der Datenverkehr überwacht oder sogar umgeleitet werden kann, ohne dass die Anti-Viren-Software der meisten Nutzer überhaupt etwas bemerkt, da diese in der Regel nur auf Windows-Ebene operiert.

Laut den Sicherheitsexperten von ESET gibt es nur sehr wenige Anbieter wie Kaspersky oder ESET selbst, die Programme im Angebot halten, welche auch das BIOS/UEFI entsprechend nach Schädlingen untersuchen.

Malware wie LoJax ist nicht nur extrem schwierig zu erkennen, sondern übersteht auch eine Windows-Neuinstallation oder auch einen Festplatten/SSD-Austausch, da sich dieses im UEFI/BIOS eingenistet hat.


Wie kann man sich gegen LoJax und kommende Ableger effektiv schützen?


Da sich LoJax wie andere Trojaner auch, über Pishing-Mails und Co. installieren können, stellt der erste Schritt - wie so oft - den Hinweis dar, E-Mails von unbekannten Absendern inklusive deren Anhänge nicht zu öffnen und gleich in den Papierkorb zu verfrachten.
Sollte man trotzdem den Verdacht haben, dass sich LoJax auf dem eigenen Rechner eingenistet hat, kann dies mit der Antiviren-Software aus dem Hause ESET überprüft werden und bei Bestätigung das BIOS / UEFI mit einer aktuellen Firmware überschrieben werden. Generell empfiehlt ESET, sich in regelmäßigen Abständen auf den Herstellerseiten der Mainboards oder auch Notebooks nach den neuesten BIOS / UEFI-Versionen zu informieren und die Rechner entsprechend up-to-date zu halten.

Sollte für den eigenen Rechner allerdings kein entsprechendes Update zur Verfügung stehen, soll laut ESET dann nur noch ein Austausch des kompletten Mainboards helfen, was in den meisten Fällen mit dem Austausch des nahezu kompletten PCs einhergeht.

Meinung des Autors: Und wieder eine neue Art von Virus, welche man im worst case nicht einmal mitbekommen muss. Auch wenn es für die meisten PCs immer noch entsprechende BIOS/UEFI-Updates gibt, stehen diejenigen mit älteren, nicht mehr unterstützten Systemen ganz schön im Regen.
 
M

Mediamann

Erfahrener Benutzer
Dabei seit
25.05.2015
Beiträge
1.101
Ort
Umgebung Ulm
Version
Windows 10 Pro 2004
System
2 Desktop - 1 Tablet
Wenn sich der Virus jedoch im Prozessor breit gemacht hat gibt es so wie ich mitbekommen habe, keine Lösung bis jetzt.
 
areiland

areiland

Super-Moderator
Dabei seit
25.08.2014
Beiträge
28.065
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
Da macht sich kein Virus im Prozessor breit - das geht schlicht und einfach nicht. Lojax legt eine Routine im UEFI ab, die ihrerseits beim Rechnerstart eine Exe ins System einfügt, die den eigentlichen Schädling ausmacht. Wenn man Secure Boot an, ein halbwegs aktuelles UEFI drauf hat, auch sonst aktuell ist und nicht jeden E-Mail Anhang öffnet, dann ist man relativ sicher. Selbst dann muss man dann noch eine UAC Abfrage bestätigen, weil dieser Virus nämlich Adminrechte benötigt um sich einzunisten. Ausserdem ist dieser Schädling schon länger bekannt und wurde bisher dafür verwendet, um Behörden und Regierungsstellen anzugreifen. In den aktuellen Definitionen der Virenscanner sollte er deshalb auch enthalten sein.

Ich vermute eher, dass Eset ein wenig Panikmache betreibt, um seinen UEFI Scanner anzupreisen.
 
ungarnjoker

ungarnjoker

Erfahrener Benutzer
Dabei seit
25.01.2015
Beiträge
2.505
Ort
In Ungarn am Balaton, vorher im schönen Hamburg
Version
2004 (Build 19041.388)
System
MSI GL72 6QFi781FD 16GB RAM 250GB int. SSD + ca. 20TB extern an diversen USB-2,3&C, nVIDIA GTX960M
Es würde vermutlich auch was nützen, den BIOS/UEFI-Zugang durch ein Passwort zu schützen.
 
areiland

areiland

Super-Moderator
Dabei seit
25.08.2014
Beiträge
28.065
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
Das wird vermutlich nichts helfen, da der Virus sich vom OS aus ins UEFI flashen kann.
 
M

Mediamann

Erfahrener Benutzer
Dabei seit
25.05.2015
Beiträge
1.101
Ort
Umgebung Ulm
Version
Windows 10 Pro 2004
System
2 Desktop - 1 Tablet
Da haben die im TV Bericht Unsinn geredet. Man sah im Bericht auf einer Grafik die Chips CPU - GPU und Bios die infiziert werden können.
 
areiland

areiland

Super-Moderator
Dabei seit
25.08.2014
Beiträge
28.065
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
Die haben wohl Spectre/Meltown und LoJax in einen Topf geworfen.
 
Heinz

Heinz

Erfahrener Benutzer
Dabei seit
01.09.2017
Beiträge
4.128
Ort
Indonesia
Version
Windows 10 Home Insider
System
Toshiba Satellit S 55 /IntelCore i7-3660QM. RAM 8 GB/HDD 1000 GB.
Da ich UEFI Secure Boot aktiviert habe,denke ich,ich bin relativ sicher,da das startende OS auch auf Rootkits gecheckt wird.Oder sehe ich das zu blauäugig?
Auch kann ich jederzeit im Windows Defender den integrierten Offline Scan starten,wenn ich einen Verdacht hege.
Dazu muss man sich keinen Fremdscanner wie ESET aufschwatzen lassen die gezielt unbegründete Ängste erzeugen, um Produkte an den Mann zu bringen.
PS. Ich weiss natürlich dass Secure Boot bei Multiboot diverser OS leider nicht geht.
 
Zuletzt bearbeitet:
runit

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
7.489
Version
.............2004 Pro 64 bit Build 19041.423
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe 256 GB, Intel Graphic UHD 630
Der Defender macht keinen UEFI-Scan. Secure Boot hat damit herzlich wenig zu tun. Das sorgt nur dafür, dass keine fremden Medien gebootet werden können.

Es geht hierbei nicht um Rootkits, die beim Booten Schaden anrichten, sondern um einen im Bios eingenisteten Schädling. Dieser wird vom System aus mittels eines Trojaners in das Bios geschickt. Die präventive Maßnahme wäre also, diesen Trojaner zu entdecken bzw. vom System fernzuhalten. Ist das UEFI infiziert, gibt es eben nur wenig Möglichkeit, ihn wieder aus dem Bios zu bekommen.
 
Zuletzt bearbeitet:
N

nirdan

Benutzer
Dabei seit
21.08.2015
Beiträge
94
Version
Windows 10 Pro
System
MSI B450-A PRO, Ryzen 7 2700X Box, 16 GB DDR4-3000 G.Skill Aegis, MSI GeForce GTX 1660ti
Ein ausgewählter Scan scheint weder bei Eset, noch Kaspersky möglich zu sein. Da ich Kaspersky nutze, habe ich das gleich mal kontrolliert. Mir ist auch nicht bewusst, dass ich irgenwann mal etwas von einem Bios Scan gelesen habe.
 
Heinz

Heinz

Erfahrener Benutzer
Dabei seit
01.09.2017
Beiträge
4.128
Ort
Indonesia
Version
Windows 10 Home Insider
System
Toshiba Satellit S 55 /IntelCore i7-3660QM. RAM 8 GB/HDD 1000 GB.
Hallo runit
Ich dachte dabei auch nur an vorbeugende Massnahmen,damit der Dreck möglichst gar nicht erst den Weg ins BIOS findet.
Liege ich da auch falsch?
 
runit

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
7.489
Version
.............2004 Pro 64 bit Build 19041.423
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe 256 GB, Intel Graphic UHD 630
Moin Heinz,

wie @Alex schrieb, sollte der Trojaner bekannt sein und in den Virendefinitionen enthalten sein. Die größte Gefahr besteht wohl über Pishing Mails etc, wie bei Spectre auch.

Dies ist ja nun auch eine neue Form von Virus. Waren bisher die Boot-Rootkits am gefährlichsten (sind natürlich immer noch gefährlich) haben sich die meisten AV-Lösungen diesen aber angenommen. Das ESET bei dieser neuen Bedrohung, einem UEFI-Rootkit, als einer der ersten Anbieter sich diesem Problem wirkungsvoll angenommen hat, ist zur Zeit ein Pfund, mit dem ESET "protzen" kann.

Ich denke, es ist eine Frage der Zeit, bis andere AV-Anbieter das genauso in ihrem Leistungsumfang haben werden. Ich denke auch, dass auch der Defender im Laufe der Zeit darauf eingestellt wird.
 
Zuletzt bearbeitet:
areiland

areiland

Super-Moderator
Dabei seit
25.08.2014
Beiträge
28.065
Ort
Ludwigshafen
Version
Windows 10 Pro x64 immer aktuell!
System
970M Pro3, FX8350, RX560, 16GB DDR3 1600, 860Evo256 GB, MK7559GSXP, SH224BB, BenQ GW2780
So neu ist der nicht! Er oder ein Ableger wurde wohl sogar beim Hack des Bundestags in 2015 eingesetzt.
 
Thema:

LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen

LoJax-UEFI-Virus: so kann man sich vor der gefährlichen Malware schützen - Ähnliche Themen

  • Lojax, Defender und das UEFI-BIOS

    Lojax, Defender und das UEFI-BIOS: n'Tag zusammen, der Lojax hat mich aufgeschreckt, siehe hier...
  • Win 10 uefi installieren

    Win 10 uefi installieren: Guten Tag. Wollte bei meinem PC Windows 10 neu machen. Hab mir dann Windows creative tool runtergeladen und mir USB erstellt. Im BIOS habe ich...
  • UEFI lässt Windows Loading Screen weg

    UEFI lässt Windows Loading Screen weg: Hallo Liebe Leute ich habe ein unterschied nach meinem clean install bemerkt unzwar wird mir der windows lade Bildschirm nicht mehr beim...
  • Windows 10 bootet nicht mehr/UEFI BIOS friert ein nach Windows Update

    Windows 10 bootet nicht mehr/UEFI BIOS friert ein nach Windows Update: Hallo liebe Community Ich hoffe, euch allen geht es soweit in Ordnung. Ich habe ein echt schwerwiegendes Problem. Windows 10 hat ein Update...
  • Ähnliche Themen
  • Lojax, Defender und das UEFI-BIOS

    Lojax, Defender und das UEFI-BIOS: n'Tag zusammen, der Lojax hat mich aufgeschreckt, siehe hier...
  • Win 10 uefi installieren

    Win 10 uefi installieren: Guten Tag. Wollte bei meinem PC Windows 10 neu machen. Hab mir dann Windows creative tool runtergeladen und mir USB erstellt. Im BIOS habe ich...
  • UEFI lässt Windows Loading Screen weg

    UEFI lässt Windows Loading Screen weg: Hallo Liebe Leute ich habe ein unterschied nach meinem clean install bemerkt unzwar wird mir der windows lade Bildschirm nicht mehr beim...
  • Windows 10 bootet nicht mehr/UEFI BIOS friert ein nach Windows Update

    Windows 10 bootet nicht mehr/UEFI BIOS friert ein nach Windows Update: Hallo liebe Community Ich hoffe, euch allen geht es soweit in Ordnung. Ich habe ein echt schwerwiegendes Problem. Windows 10 hat ein Update...
  • Sucheingaben

    computervirus Lojax

    ,

    windows 10 virus in uefi

    ,

    lojax auf uefi bios,wie handeln

    ,
    UEFI auf Viren Prüfen
    , uefi Virus
    Oben