image

'Onbekend virus besmet BIOS, vergrendelt pc'

zondag 30 juni 2013, 19:56 door Redactie, 30 reacties

Er zijn verschillende berichten op internet verschenen over een nieuw virus dat de BIOS van computers infecteert en opstarten zo onmogelijk maakt. Het virus heeft de naam 'You steal music I lock your pc' gekregen, omdat slachtoffers na het opstarten van hun computer meteen een afbeelding van een vrouwelijke dj zien met de tekst dat de computer vanwege muziekdiefstal vergrendeld is.

De BIOS (Basic Input/output System) is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die draait bij het opstarten van de computer.

Melding
Hoe de malware zich precies verspreidt, of de BIOS inderdaad overschreven wordt en of het niet om een hoax gaat is onduidelijk. De eerste melding over de malware verscheen op het forum van FOK. Een gebruiker meldt hoe de computer van zijn vader werd vergrendeld.

"Mijn vader heeft een probleem en wel zijn computer start niet meer op. Mijn vader heeft vanmorgen zijn pc netjes afgesloten en kreeg de melding dat er iets succesvol was geïnstalleerd. Mijn vader zag hier de ernst niet van in en heeft zijn pc uit gezet. Vanmiddag toen hij zijn pc had aangezet startte hij niet meer op. Hij bleef vast staan op een soort afbeelding met allemaal tekens en cijfers."

Details
Het ging om onderstaande afbeelding. Vervolgens verscheen er ook een vraag over 'You steal music I lock your pc' op Yahoo! Answers, gevolgd door PC Web Plus waar twee meldingen binnenkwamen. In alle gevallen rapporteren de slachtoffers dat ze de afbeelding te zien krijgen, maar verdere informatie wordt niet gegeven, waardoor nog altijd onduidelijk is wat er precies speelt.

Reacties (30)
30-06-2013, 20:51 door Anoniem
Wat apart is / lijkt, is dat het alleen Nederlandse slachtoffers maakt voor nu... dat maakt het iets ongeloofwaardiger als je het mij vraagt.
30-06-2013, 21:24 door WesleySmalls
En er is er nog een;
http://www.helpmij.nl/forum/showthread.php/776615-ik-ben-ten-einde-raad

Het gaat kennelijk om het bestand lcrm.exe wat dit veroorzaakt.
30-06-2013, 21:36 door [Account Verwijderd]
[Verwijderd]
30-06-2013, 22:52 door WesleySmalls
Tja, zo zijn ze nou eenmaal. Dat komt bij elk probleem voor, zo min mogelijk info geven en er word verwacht dat de rest het maar kan ruiken ofzo.

Zou trouwens fijn zijn als een van de slachtoffers de HDD's kunnen vastkoppelen naar een andere pc en deze file(lcrm.exe) ergens kunnen uploaden, zo kan de rest ook verder qua research.
30-06-2013, 23:00 door Anoniem
Ziet er naar uit dat die bios/CMOS chip geflashed word.
30-06-2013, 23:29 door Anoniem
HELLLUP ... opees zag ik een melding en die heb ik weggeklikt, die had ik al een tijdje, maar hij drukte toch gewoon af, en ik maar starte opnieuw op omdat internet het niet meer dees, toen was dat zandlopertje nadat ik het program heb gestart, maar dat was eerder niet zo ...
Tip 1: de taal incl. komma en punt is niet alleen voor de spellingcontrole maar ook voor de leesbaarheid van belang.
Tip 2: inderdaad, ik ben het met NordicTrack eens ... zet een versie van het besturingssysteem, de softwareversie van het probleemprogramma erbij en (ook interessant) vertel even hoelang dat probleem al bestaat.
Tip3: als de warboel uit de hand loopt -> hit any user to continue.
30-06-2013, 23:39 door [Account Verwijderd]
[Verwijderd]
01-07-2013, 01:26 door _____
Nou, als het klopt wat ik er tot nu toe over heb gelezen, kan dit wel eens een heel gemeen beestje zijn!
01-07-2013, 01:28 door [Account Verwijderd]
[Verwijderd]
01-07-2013, 02:28 door _____
Wellicht is het slim om de BIOS flash en cache opties te beveiligen en dan uit te zetten tot er meer bekend is. Een BIOS password lijkt mij overigens altijd verstandig.
01-07-2013, 09:02 door AcidBurn
Tsja. Je kunt vanuit Windows heel veel doen, zelfs de firmware die met een SSD komt kun je patchen of overschrijven.. Hoop dat de virusmakers daar nog even niet achterkomen.
01-07-2013, 09:16 door [Account Verwijderd]
[Verwijderd]
01-07-2013, 09:24 door [Account Verwijderd]
[Verwijderd]
01-07-2013, 10:12 door Anoniem
Door NordicTrack: Dan nog een opmerking: wie een hard reset van het BIOS wil laten uitvoeren via de Jumpers (omdat echt niets anders meer mogelijk is!), moet dus op het Moederboard naar de Jumper zoeken. Deze is meestal gegroepeerd bij de systeembatterij en er staat een naam op de printplaat vlak in de buurt van de Jumper: CLR BIOS. Het ziet er uit als een klein stukje plastic. De reset kan worden uitgevoerd door de Jumper voorzichtig van het stekkertje te verwijderen (omhoog trekken) en weer terug te plaatsen.

Heb je zelf nooit een hard reset gedaan, laat dit dan doen door een vakman of een computer-reparatieafdeling!

Je kan ook gewoon een minuutje de batterij eruit halen, heeft hetzelfde effect.
01-07-2013, 10:13 door Anoniem
Door NordicTrack: Dan nog een opmerking: wie een hard reset van het BIOS wil laten uitvoeren via de Jumpers (omdat echt niets anders meer mogelijk is!), moet dus op het Moederboard naar de Jumper zoeken. Deze is meestal gegroepeerd bij de systeembatterij en er staat een naam op de printplaat vlak in de buurt van de Jumper: CLR BIOS. Het ziet er uit als een klein stukje plastic. De reset kan worden uitgevoerd door de Jumper voorzichtig van het stekkertje te verwijderen (omhoog trekken) en weer terug te plaatsen.

Heb je zelf nooit een hard reset gedaan, laat dit dan doen door een vakman of een computer-reparatieafdeling!
Voordat er nog meer onduidelijkheid ontstaat: deze "reset van het BIOS" is niet een reset van de software maar een
reset van de INSTELLINGEN ervan. Dus als je in "BIOS SETUP" hebt zitten rommelen en je komt er niet meer uit,
en de computer wil niet meer booten omdat hij de disks niet meer ziet of hij staat zodanig overclocked dat hij niet
meer betrouwbaar is, dan kun je met deze truuk (in feite het losnemen van de batterij) alle INSTELLINGEN terug zetten
naar fabriekswaarden en daarmee de boel weer werkend krijgen.

Tegen het overschrijven van de BIOS software zelf, door het flashen van de BIOS, helpt dit uiteraard geen zier.
Hoe je daar vanaf komt dat hangt van het moederbord af. Er zijn borden waar je een recovery mode hebt voor
mislukte BIOS flashes, en hopelijk is de software daarvoor niet overschrijfbaar. Als die recovery mode er is kun
je die gebruiken om weer de goede BIOS erin te flashen (downloaden bij de fabrikant).
Het komt echter ook voor dat er slechts 1 BIOS is en dat die "zichzelf flashed" bij een update. Dat zijn de borden
die je ook kunt vernaggelen als tijdens de update de spanning uitvalt. Je hebt dan geen andere mogelijkheid dan
de chip zelf om te wisselen (als die nog in een voetje zit) of te flashen via JTAG oid. Dat betekent dat je speciale
hardware nodig hebt.
01-07-2013, 10:31 door Anoniem
Naar mijn ervaring...

Wanneer het BIOS een harde reset gegeven wordt nadat het geflashed is met iets wat er niet op hoort, zal het geen verschil uitmaken; hetzelfde resultaat zal verschijnen op het scherm.

Mocht het wel verschil maken, dan is er nog een mogelijkheid om het BIOS opnieuw te flashen met de daarvoor bestemde firmware van de moederbord-fabrikant.

Aangezien het onder een draaiend besturingssysteem gebeurd, zal het ingestelde BIOS-wachtwoord geen blockade opwerpen; het zal volledig overschreven worden en (naar ik verwacht) op de achtergrond gebeuren.
Als, tijdens het overschrijven van de BIOS, de computer uitgezet wordt (power-knop, 4 sec's) zal er een groter probleem zijn, mocht er geen backup-/failsafe-BIOS zijn (Gigabyte moederborden o.a. hebben deze optie vaak).


SuP
01-07-2013, 10:40 door Anoniem
Los van reparatie.... waar loop je dit op is een belangrijke vraag. Downloaden lijkt een voor de hand liggende bron, maar wie o wie meld nu eens waar hij / zij het opliep? MP3-tjes (music) of Films of een nieuwe Office DVD....

lijkt me nogal belangrijk om de bron / oorzaak te melden.

Blijf het heel vaag vinden. Meeste posts worden gedaan door nieuwe accounts op de diverse fora, dat alleen al vind ik raar.
01-07-2013, 10:54 door Ivanhoe
Door NordicTrack: Dan nog een opmerking: wie een hard reset van het BIOS wil laten uitvoeren via de Jumpers (omdat echt niets anders meer mogelijk is!), moet dus op het Moederboard naar de Jumper zoeken. Deze is meestal gegroepeerd bij de systeembatterij en er staat een naam op de printplaat vlak in de buurt van de Jumper: CLR BIOS. Het ziet er uit als een klein stukje plastic. De reset kan worden uitgevoerd door de Jumper voorzichtig van het stekkertje te verwijderen (omhoog trekken) en weer terug te plaatsen.
Aanvullend: op moederborden van laptops zit deze 'jumper' vaak ook op dezelfde plek.
Het is dan echter is het geen echte jumper, maar 2 contacten die je met een schroevendraaier kort kan sluiten.

Dit soort BIOS-overschrijvende malware is volgens mij al zo'n 2 jaar bekend.
Gebruikers die kiezen voor een desktop, zelf of bij de plaatselijke winkel samengesteld, zijn wat dit betreft in het voordeel als ze het juiste moederbord gekozen hebben.
Al een jaar of 3 a 4 zijn er voor desktops moederborden te koop met een BIOS-backup-chip.
Dus als flashen fout afloopt, kun je de originele BIOS weer terug flashen.
Die mogelijkheid kan bij deze malware-soort wel eens je enige redding blijken.
01-07-2013, 11:33 door [Account Verwijderd]
[Verwijderd]
01-07-2013, 11:47 door Anoniem
Door NordicTrack:
Dan nog een opmerking: wie een hard reset van het BIOS wil laten uitvoeren via de Jumpers (omdat echt niets anders meer mogelijk is!), moet dus op het Moederboard naar de Jumper zoeken. Deze is meestal gegroepeerd bij de systeembatterij en er staat een naam op de printplaat vlak in de buurt van de Jumper: CLR BIOS. Het ziet er uit als een klein stukje plastic. De reset kan worden uitgevoerd door de Jumper voorzichtig van het stekkertje te verwijderen (omhoog trekken) en weer terug te plaatsen.

Er zijn maar weinig moederborden waarbij je de jumper "alleen maar omhoog" hoeft te trekken. Meestel moet de Clear CMOS (geen CLR BIOS) jumper van pin 1-2 naar 2-3 verplaatst worden en dan vooral niet vergeten de jumper weer op de normale positie (pin 1-2) terug te plaatsen.
Als er werkelijk een flash van de BIOS heeft plaats gevonden dan helpt het resetten van de BIOS echt niet, immers met het resetten van de BIOS doe je niets anders dan de fabrieks instellingen herstellen naar "default".

Aanvullend: op moederborden van laptops zit deze 'jumper' vaak ook op dezelfde plek.
Het is dan echter is het geen echte jumper, maar 2 contacten die je met een schroevendraaier kort kan sluiten.

Dit soort BIOS-overschrijvende malware is volgens mij al zo'n 2 jaar bekend.
Gebruikers die kiezen voor een desktop, zelf of bij de plaatselijke winkel samengesteld, zijn wat dit betreft in het voordeel als ze het juiste moederbord gekozen hebben.
Al een jaar of 3 a 4 zijn er voor desktops moederborden te koop met een BIOS-backup-chip.
Dus als flashen fout afloopt, kun je de originele BIOS weer terug flashen.
Die mogelijkheid kan bij deze malware-soort wel eens je enige redding blijken.

Vroeger :-)) (zo'n 12 jaar geleden) had je dit soort virussen ook al. Als dit virus inderdaad nieuw is en nog niet herkent wordt door enig antivirus programma dan is er maar één manier om je hiertegen te beschermen: in de BIOS "Write Protect" inschakelen (niet bij alle moederborden mogelijk) en zoals hierboven door (*!*) al geopperd: een wachtwoord voor BIOS toegang instellen.
Inderdaad een moederbord met twee keer een BIOS of een back-up BIOS kon wel eens de enige redding zijn....

Marthy
01-07-2013, 12:21 door Anoniem
BIOS is de programmatuur, CMOS de settings.
De CMOS kun je resetten met jumper aanpassing of door de batterij eruit halen.
Als de BIOS is overschreven heb je een probleem en is het te hopen dat je deze kunt flashen.
Als men deze BIOS zo heeft herschreven dat er geen input meer wordt geaccepteerd wordt het erg lastig.

Na een boot worden nl. alle componenten (USB, drives, mem, cpu e.d.) gescand en initialiseerd.
Als dat proces is aangepast kun je wel eens met een niet werkend systeem blijven zitten.
Dan kun je bv niet van USB, HDD, of CD booten om de BIOS te flashen.
01-07-2013, 13:00 door Anoniem
Eens met NordicTrack: dit is vrijwel zeker een troll/hoax.

Let maar op, allen gestart op zelfde moment, altijd eerste post op forum (ja ik ook.. ;-) ). Als de poster reageert doet hij/zij eerst alsof ze er weinig verstand van hebben, maar uit de reacties valt te lezen dat ze meer weten.

Op PCwebplus (http://www.pcwebplus.nl/phpbb/viewtopic.php?f=206&t=10231):
"Hier nog een die er last van heeft
Heb alles al geprobeerd zelfs zonder harde schijf blijft dit plaatje erin staan
Wat nu? Want een nieuwe hd kopen heeft ook geen zin. Moet ik nu een nieuwe pc kopen?"

Iemand weet wel hoe hij zijn harddisk moet vervangen, maar niet of hij een nieuwe pc moet kopen? Daarnaast is het overduidelijk dat hij wil aantonen dat het in het BIOS zit zonder dit direct te zeggen.
01-07-2013, 13:10 door [Account Verwijderd]
[Verwijderd]
01-07-2013, 13:15 door Anoniem
Door NordicTrack: Dan nog een opmerking: wie een hard reset van het BIOS wil laten uitvoeren via de Jumpers (omdat echt niets anders meer mogelijk is!), moet dus op het Moederboard naar de Jumper zoeken. Deze is meestal gegroepeerd bij de systeembatterij en er staat een naam op de printplaat vlak in de buurt van de Jumper: CLR BIOS. Het ziet er uit als een klein stukje plastic. De reset kan worden uitgevoerd door de Jumper voorzichtig van het stekkertje te verwijderen (omhoog trekken) en weer terug te plaatsen.

Heb je zelf nooit een hard reset gedaan, laat dit dan doen door een vakman of een computer-reparatieafdeling!

Ik betwijfel dit ten zeerste. Met die jumper wis je de cmos, waarmee je custom bios instellingen weg zijn. Maar de bios wordt niet terug gezet naar een factory default.

Ontopic: ik weet niet of ik dit verhaal moet geloven of niet. Bios flashen is niet zo eenvoudig en er zijn verschillende soorten bios-en in omloop. Dat zou het erg moeilijk maken om een effectief virus te schrijven die al dit soort bios types kan overschrijven.
01-07-2013, 15:23 door [Account Verwijderd]
[Verwijderd]
01-07-2013, 16:08 door Anoniem
Door Krakatau:
Door AcidBurn: Tsja. Je kunt vanuit Windows heel veel doen, zelfs de firmware die met een SSD komt kun je patchen of overschrijven.. Hoop dat de virusmakers daar nog even niet achterkomen.
Kan dat ook zonder administrator rechten?

Nee, zonder administrator rechten kan dat onder Windows niet.

Marthy
01-07-2013, 16:42 door Anoniem
Beschermt een BIOS-paswoord tegen het veranderen van de instellingen en/of tegen het flashen?

Volgens mij tegen het veranderen van de instellingen. Dus niet tegen het flashen ??

Kan iemand daar duidelijkheid over geven?
01-07-2013, 17:08 door WesleySmalls
Ben het er inmiddels wel mee eens dat dit gewoon een hoax is.

Gebruikers gedragen zich niet volgens het normale "help ik heb een probleem los het voor me op" idee. Ze linken allemaal heel erg door naar posts en ook mist bij elke foto(op 1 na) de EXIF data, ik betwijfel of een leek uberhaupt weet hoe je dat moet verwijderen. Daarbij betwijfel ik ook of een leek de term "ASCI art" kent, en betwijfel er ook aan of eenzelfde leek weet wat een "BIOS" is, hoe een HDD los te koppelen, de CMOS batterij los te maken en met jumpers te kloten.

Daarnaast blijft het met de vraag "wat is het moederbord" verassend stil en is het bij het merendeel een "computer van mijn vader" of "de computer is bij mijn vriend".

Ze(of hij) hadden ons toch wel even te pakken
01-07-2013, 19:28 door Anoniem
1 april ligt toch al weer even achter ons, hoor .... gggrrr.
04-07-2013, 15:20 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.