rotylsen
02-04-2022, 15:53
Innanzitutto mi scuso per la estensione di questo post.
Sì, è proprio così. Ho un PC Desktop con l'harware infetto da un malware sconosciuto, e temo che nulla si potrà fare, allo stato attuale dell' "arte".
Nonostante le normali adeguate protezioni (firewall bidirezionale di terze parti e antivirus Avast aggiornato) e nonostante la assenza di utilizzo di email o di download di materiale da siti "strani", il PC si è infettato.
Forse è stata una chiavetta con Win10PE utilizzata per ispezionare un altro PC di un amico, anch'esso infetto, ma che invece poi è stato ripulito, essendo un PC senza UEFI.
In quello dell'amico è bastato riprogrammare il chip del BIOS con 1 MB di firmware aggiornato, utilizzando un "programmer" apposito, con l'estrazione e poi il riposizionamento del chip sul suo zoccolo.
Invece sul mio PC, che beneficia di un sistema UEFI con firmware di 8 MB, la riprogrammazione condotta con lo stesso "programmer" non è servita a nulla.
Il chip, una volta riprogrammato e verificato per esatta corrispondenza con il firmware originale e aggiornato, scaricato dal sito del produttore, dopo l'avvio, ad un successivo controllo, aveva aggiunto circa 200 KB di nuovo codice sorgente, scritto in spazi vuoti del chip.
La situazione si determina anche dopo aver estratto ogni Hard Disk o CD o DVD o chiavetta autopartente, senza quindi alcun sistema operativo.
Basta riprogrammare, reinserire, riavviare a vuoto, e il chip è già infetto (ad un successivo controllo).
L'infezione si manifesta con la impossibilità di installare Windows (sia da chiavetta che da vari DVD differenti) ex novo su più dischi vuoti diversi, connessi ciascuno in modo standalone, uno per volta, ovviamente.
Prima di avviare la installazione effettiva di Windows, dopo i preliminari di configurazione, una scritta indica che mancano alcuni driver per procedere al setup e tutto si ferma.
Provando ad usare CD o DVD con antivirus noti, utili per la disinfezione da Boot, con o senza Hard Disk, l'avvio in genere è lentissimo, e la scansione a volte si interrompe.
Ad ogni modo non risulta alcun malware sui dischi, anche perché ho installato Kaspersky Cloud free o Avast sui sistemi con setup regolare e nulla viene trovato.
Anche l'uso di SpyHunter non dà risultati.
Presumo che il malware, una volta insediatosi nel firmware da qualche parte, abbia cancellato le tracce del software servito per l'infezione dal disco che era presente al momento della infezione stessa.
Ho provato a usare una sola delle due Ram, scambiandole fra loro. Ho provato a staccare la scheda video dedicata e ad utilizzare quella integrata onboard sulla scheda madre.
Tutto come prima. Dopo la riprogrammazione il chip è di nuovo alterato con codice aggiunto.
Non mi riferisco alle poche decine di Byte che normalmente vengono tracciate sul chip dopo una riconfigurazione del Bios, come ad esempio per definire la priorità del Boot o la frequenza di Dram.
Nè ho pensato di sostituire componenti come le Ram o la Cpu con altri nuovi, per evitare che potessero essere a loro volta infettati, dato che ignoro quale componente interno sia infettato, e come agisca per infettare probabilmente altri chip sulla scheda madre.
Una ottima soluzione sarebbe quella di riscrivere tutti i firmware interni del PC, ma forse ci vorrebbe un laboratorio attrezzato.
Sorgono quindi le domande:
1 - Perché i componenti hardware si infettano tramite i loro firmware senza che i produttori abbiano pensato a proteggerli adeguatamente?
2 - Perché i produttori di hardware non hanno pensato a dotare tutti i componenti hardware di un sistema semplice di reset alle condizioni di fabbrica, per ovviare al rischio di contaminazioni con firmware infetti o corrotti?
3 - Come salvare adesso 400 euro di componenti hardware dalla rottamazione?
Allego un breve elenco delle caratteristiche hardware del PC infetto:
Computer
Tipo computer ACPI x64-based PC
Sistema operativo Microsoft Windows 10 Pro
Nome computer MAX-PC
Nome utente Max
Dominio Max-PC
Data / Ora 2022-04-02 / 12:22
Scheda madre
Tipo processore DualCore Intel Pentium G3440, 3300 MHz (33 x 100)
Nome scheda madre Asus B85M-G (2 PCI-E x1, 1 PCI-E x16, 4 DDR3 DIMM, Audio, Video, Gigabit LAN)
Chipset scheda madre Intel Lynx Point B85, Intel Haswell
Memoria di sistema 16322 MB (DDR3-1600 DDR3 SDRAM)
DIMM1: Crucial BLT8G3D1608DT1TX0. 8 GB DDR3-1600 DDR3 SDRAM
DIMM3: Crucial BLT8G3D1608DT1TX0. 8 GB DDR3-1600 DDR3 SDRAM
Tipo BIOS AMI (03/23/2018)
Porta di comunicazione Porta di comunicazione (COM1)
Porta di comunicazione Porta stampante (LPT1)
DMI
Produttore DMI del BIOS American Megatrends Inc.
Versione DMI del BIOS 3602
Produttore DMI di sistema ASUS
Prodotto DMI di sistema All Series
Versione DMI di sistema System Version
Numero di serie DMI di sistema System Serial Number
UUID di DMI di sistema 00020003-00040005-00060007-00080009
Produttore DMI della scheda madre ASUSTeK COMPUTER INC.
Prodotto DMI della scheda madre B85M-G
Versione DMI della scheda madre Rev X.0x
Proprietà BIOS
Tipo BIOS AMI EFI
Versione BIOS 3602
Data BIOS di sistema 03/23/2018
Data BIOS video 08/13/16
Scheda video dedicata
Adattatore video NVIDIA GeForce GT 710 (2 GB)
Sì, è proprio così. Ho un PC Desktop con l'harware infetto da un malware sconosciuto, e temo che nulla si potrà fare, allo stato attuale dell' "arte".
Nonostante le normali adeguate protezioni (firewall bidirezionale di terze parti e antivirus Avast aggiornato) e nonostante la assenza di utilizzo di email o di download di materiale da siti "strani", il PC si è infettato.
Forse è stata una chiavetta con Win10PE utilizzata per ispezionare un altro PC di un amico, anch'esso infetto, ma che invece poi è stato ripulito, essendo un PC senza UEFI.
In quello dell'amico è bastato riprogrammare il chip del BIOS con 1 MB di firmware aggiornato, utilizzando un "programmer" apposito, con l'estrazione e poi il riposizionamento del chip sul suo zoccolo.
Invece sul mio PC, che beneficia di un sistema UEFI con firmware di 8 MB, la riprogrammazione condotta con lo stesso "programmer" non è servita a nulla.
Il chip, una volta riprogrammato e verificato per esatta corrispondenza con il firmware originale e aggiornato, scaricato dal sito del produttore, dopo l'avvio, ad un successivo controllo, aveva aggiunto circa 200 KB di nuovo codice sorgente, scritto in spazi vuoti del chip.
La situazione si determina anche dopo aver estratto ogni Hard Disk o CD o DVD o chiavetta autopartente, senza quindi alcun sistema operativo.
Basta riprogrammare, reinserire, riavviare a vuoto, e il chip è già infetto (ad un successivo controllo).
L'infezione si manifesta con la impossibilità di installare Windows (sia da chiavetta che da vari DVD differenti) ex novo su più dischi vuoti diversi, connessi ciascuno in modo standalone, uno per volta, ovviamente.
Prima di avviare la installazione effettiva di Windows, dopo i preliminari di configurazione, una scritta indica che mancano alcuni driver per procedere al setup e tutto si ferma.
Provando ad usare CD o DVD con antivirus noti, utili per la disinfezione da Boot, con o senza Hard Disk, l'avvio in genere è lentissimo, e la scansione a volte si interrompe.
Ad ogni modo non risulta alcun malware sui dischi, anche perché ho installato Kaspersky Cloud free o Avast sui sistemi con setup regolare e nulla viene trovato.
Anche l'uso di SpyHunter non dà risultati.
Presumo che il malware, una volta insediatosi nel firmware da qualche parte, abbia cancellato le tracce del software servito per l'infezione dal disco che era presente al momento della infezione stessa.
Ho provato a usare una sola delle due Ram, scambiandole fra loro. Ho provato a staccare la scheda video dedicata e ad utilizzare quella integrata onboard sulla scheda madre.
Tutto come prima. Dopo la riprogrammazione il chip è di nuovo alterato con codice aggiunto.
Non mi riferisco alle poche decine di Byte che normalmente vengono tracciate sul chip dopo una riconfigurazione del Bios, come ad esempio per definire la priorità del Boot o la frequenza di Dram.
Nè ho pensato di sostituire componenti come le Ram o la Cpu con altri nuovi, per evitare che potessero essere a loro volta infettati, dato che ignoro quale componente interno sia infettato, e come agisca per infettare probabilmente altri chip sulla scheda madre.
Una ottima soluzione sarebbe quella di riscrivere tutti i firmware interni del PC, ma forse ci vorrebbe un laboratorio attrezzato.
Sorgono quindi le domande:
1 - Perché i componenti hardware si infettano tramite i loro firmware senza che i produttori abbiano pensato a proteggerli adeguatamente?
2 - Perché i produttori di hardware non hanno pensato a dotare tutti i componenti hardware di un sistema semplice di reset alle condizioni di fabbrica, per ovviare al rischio di contaminazioni con firmware infetti o corrotti?
3 - Come salvare adesso 400 euro di componenti hardware dalla rottamazione?
Allego un breve elenco delle caratteristiche hardware del PC infetto:
Computer
Tipo computer ACPI x64-based PC
Sistema operativo Microsoft Windows 10 Pro
Nome computer MAX-PC
Nome utente Max
Dominio Max-PC
Data / Ora 2022-04-02 / 12:22
Scheda madre
Tipo processore DualCore Intel Pentium G3440, 3300 MHz (33 x 100)
Nome scheda madre Asus B85M-G (2 PCI-E x1, 1 PCI-E x16, 4 DDR3 DIMM, Audio, Video, Gigabit LAN)
Chipset scheda madre Intel Lynx Point B85, Intel Haswell
Memoria di sistema 16322 MB (DDR3-1600 DDR3 SDRAM)
DIMM1: Crucial BLT8G3D1608DT1TX0. 8 GB DDR3-1600 DDR3 SDRAM
DIMM3: Crucial BLT8G3D1608DT1TX0. 8 GB DDR3-1600 DDR3 SDRAM
Tipo BIOS AMI (03/23/2018)
Porta di comunicazione Porta di comunicazione (COM1)
Porta di comunicazione Porta stampante (LPT1)
DMI
Produttore DMI del BIOS American Megatrends Inc.
Versione DMI del BIOS 3602
Produttore DMI di sistema ASUS
Prodotto DMI di sistema All Series
Versione DMI di sistema System Version
Numero di serie DMI di sistema System Serial Number
UUID di DMI di sistema 00020003-00040005-00060007-00080009
Produttore DMI della scheda madre ASUSTeK COMPUTER INC.
Prodotto DMI della scheda madre B85M-G
Versione DMI della scheda madre Rev X.0x
Proprietà BIOS
Tipo BIOS AMI EFI
Versione BIOS 3602
Data BIOS di sistema 03/23/2018
Data BIOS video 08/13/16
Scheda video dedicata
Adattatore video NVIDIA GeForce GT 710 (2 GB)