Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
A distanza di circa 8 mesi arriva l’importante aggiornamento dei MacBook Air: nessun cambiamento estetico, ma una revisione hardware interna con l’upgrade al processore M3. Le prestazioni migliorano rispetto alle generazioni precedenti, e questo fa sorgere una domanda spontanea: a chi è rivolto oggi questo laptop? Cerchiamo di capirlo nella nostra recensione 
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 02-04-2022, 15:53   #1
rotylsen
Junior Member
 
Iscritto dal: Apr 2022
Messaggi: 2
Hardware con firmware infetto

Innanzitutto mi scuso per la estensione di questo post.

Sì, è proprio così. Ho un PC Desktop con l'harware infetto da un malware sconosciuto, e temo che nulla si potrà fare, allo stato attuale dell' "arte".

Nonostante le normali adeguate protezioni (firewall bidirezionale di terze parti e antivirus Avast aggiornato) e nonostante la assenza di utilizzo di email o di download di materiale da siti "strani", il PC si è infettato.
Forse è stata una chiavetta con Win10PE utilizzata per ispezionare un altro PC di un amico, anch'esso infetto, ma che invece poi è stato ripulito, essendo un PC senza UEFI.
In quello dell'amico è bastato riprogrammare il chip del BIOS con 1 MB di firmware aggiornato, utilizzando un "programmer" apposito, con l'estrazione e poi il riposizionamento del chip sul suo zoccolo.

Invece sul mio PC, che beneficia di un sistema UEFI con firmware di 8 MB, la riprogrammazione condotta con lo stesso "programmer" non è servita a nulla.
Il chip, una volta riprogrammato e verificato per esatta corrispondenza con il firmware originale e aggiornato, scaricato dal sito del produttore, dopo l'avvio, ad un successivo controllo, aveva aggiunto circa 200 KB di nuovo codice sorgente, scritto in spazi vuoti del chip.
La situazione si determina anche dopo aver estratto ogni Hard Disk o CD o DVD o chiavetta autopartente, senza quindi alcun sistema operativo.
Basta riprogrammare, reinserire, riavviare a vuoto, e il chip è già infetto (ad un successivo controllo).

L'infezione si manifesta con la impossibilità di installare Windows (sia da chiavetta che da vari DVD differenti) ex novo su più dischi vuoti diversi, connessi ciascuno in modo standalone, uno per volta, ovviamente.
Prima di avviare la installazione effettiva di Windows, dopo i preliminari di configurazione, una scritta indica che mancano alcuni driver per procedere al setup e tutto si ferma.

Provando ad usare CD o DVD con antivirus noti, utili per la disinfezione da Boot, con o senza Hard Disk, l'avvio in genere è lentissimo, e la scansione a volte si interrompe.
Ad ogni modo non risulta alcun malware sui dischi, anche perché ho installato Kaspersky Cloud free o Avast sui sistemi con setup regolare e nulla viene trovato.
Anche l'uso di SpyHunter non dà risultati.

Presumo che il malware, una volta insediatosi nel firmware da qualche parte, abbia cancellato le tracce del software servito per l'infezione dal disco che era presente al momento della infezione stessa.

Ho provato a usare una sola delle due Ram, scambiandole fra loro. Ho provato a staccare la scheda video dedicata e ad utilizzare quella integrata onboard sulla scheda madre.
Tutto come prima. Dopo la riprogrammazione il chip è di nuovo alterato con codice aggiunto.
Non mi riferisco alle poche decine di Byte che normalmente vengono tracciate sul chip dopo una riconfigurazione del Bios, come ad esempio per definire la priorità del Boot o la frequenza di Dram.

Nè ho pensato di sostituire componenti come le Ram o la Cpu con altri nuovi, per evitare che potessero essere a loro volta infettati, dato che ignoro quale componente interno sia infettato, e come agisca per infettare probabilmente altri chip sulla scheda madre.
Una ottima soluzione sarebbe quella di riscrivere tutti i firmware interni del PC, ma forse ci vorrebbe un laboratorio attrezzato.

Sorgono quindi le domande:

1 - Perché i componenti hardware si infettano tramite i loro firmware senza che i produttori abbiano pensato a proteggerli adeguatamente?
2 - Perché i produttori di hardware non hanno pensato a dotare tutti i componenti hardware di un sistema semplice di reset alle condizioni di fabbrica, per ovviare al rischio di contaminazioni con firmware infetti o corrotti?
3 - Come salvare adesso 400 euro di componenti hardware dalla rottamazione?

Allego un breve elenco delle caratteristiche hardware del PC infetto:

Computer
Tipo computer ACPI x64-based PC
Sistema operativo Microsoft Windows 10 Pro
Nome computer MAX-PC
Nome utente Max
Dominio Max-PC
Data / Ora 2022-04-02 / 12:22

Scheda madre
Tipo processore DualCore Intel Pentium G3440, 3300 MHz (33 x 100)
Nome scheda madre Asus B85M-G (2 PCI-E x1, 1 PCI-E x16, 4 DDR3 DIMM, Audio, Video, Gigabit LAN)
Chipset scheda madre Intel Lynx Point B85, Intel Haswell
Memoria di sistema 16322 MB (DDR3-1600 DDR3 SDRAM)
DIMM1: Crucial BLT8G3D1608DT1TX0. 8 GB DDR3-1600 DDR3 SDRAM
DIMM3: Crucial BLT8G3D1608DT1TX0. 8 GB DDR3-1600 DDR3 SDRAM
Tipo BIOS AMI (03/23/2018)
Porta di comunicazione Porta di comunicazione (COM1)
Porta di comunicazione Porta stampante (LPT1)

DMI
Produttore DMI del BIOS American Megatrends Inc.
Versione DMI del BIOS 3602
Produttore DMI di sistema ASUS
Prodotto DMI di sistema All Series
Versione DMI di sistema System Version
Numero di serie DMI di sistema System Serial Number
UUID di DMI di sistema 00020003-00040005-00060007-00080009
Produttore DMI della scheda madre ASUSTeK COMPUTER INC.
Prodotto DMI della scheda madre B85M-G
Versione DMI della scheda madre Rev X.0x

Proprietà BIOS
Tipo BIOS AMI EFI
Versione BIOS 3602
Data BIOS di sistema 03/23/2018
Data BIOS video 08/13/16

Scheda video dedicata
Adattatore video NVIDIA GeForce GT 710 (2 GB)
rotylsen è offline   Rispondi citando il messaggio o parte di esso
Old 19-04-2022, 11:59   #2
sparviero00
Junior Member
 
L'Avatar di sparviero00
 
Iscritto dal: Feb 2022
Messaggi: 13
Non credo sia un virus, è più probabile che tu trovi una soluzione al tuo problema in uno di questi modi:

https://www.drivereasy.com/knowledge...missing-fixed/
sparviero00 è offline   Rispondi citando il messaggio o parte di esso
Old 08-06-2022, 19:24   #3
rotylsen
Junior Member
 
Iscritto dal: Apr 2022
Messaggi: 2
Ho deciso di buttare l'hardware infetto

Ringrazio sparviero00 per la collaborazione.
Tuttavia scrivo qui appresso quanto ho già riportato nel post iniziale:
"Invece sul mio PC, che beneficia di un sistema UEFI con firmware di 8 MB, la riprogrammazione condotta con lo stesso "programmer" non è servita a nulla.
Il chip, una volta riprogrammato e verificato per esatta corrispondenza con il firmware originale e aggiornato, scaricato dal sito del produttore, dopo l'avvio, ad un successivo controllo, aveva aggiunto circa 200 KB di nuovo codice sorgente, scritto in spazi vuoti del chip.
La situazione si determina anche dopo aver estratto ogni Hard Disk o CD o DVD o chiavetta autopartente, senza quindi alcun sistema operativo.
Basta riprogrammare, reinserire, riavviare a vuoto, e il chip è già infetto (ad un successivo controllo).

L'infezione si manifesta con la impossibilità di installare Windows (sia da chiavetta che da vari DVD differenti) ex novo su più dischi vuoti diversi, connessi ciascuno in modo standalone, uno per volta, ovviamente.
Prima di avviare la installazione effettiva di Windows, dopo i preliminari di configurazione, una scritta indica che mancano alcuni driver per procedere al setup e tutto si ferma."

Desidero cioè far capire che non si tratta di un problema di driver, perché i driver riguardano i sistemi operativi quando governano un computer.
Anche se all'avvio di una installazione, Windows carica alcuni driver direttamente dal pacchetto su DVD o chiavetta USB, qui la indicazione che mancano alcuni driver è fasulla, cioè è il virus stesso che scrive queste fesserie, dopo aver bloccato l'installazione.
Invece nel mio caso il problema è che, dopo 8 anni di perfetto funzionamento del PC Desktop con tutti i regolari driver di Windows, avendo io ben 4 hard disk estraibili e intercambiabili (3 da 1 TB e 1 da 500 GB), di cui i primi 3 con W10 (2 in GPT e 1 in MBR) e il quarto in MBR con W7, tutti a 64 bit, dopo quel problema del virus, tutto è cambiato su tutti e 4 i sistemi operativi sui rispettivi dischi.
Inoltre è grave non aver capito che il problema si manifesta già all'inizio di ogni nuova installazione di Windows, sia W10 che W7 a 64 bit, sia da DVD (su due lettori differenti) che da chiavetta USB (infilata in qualsiasi presa USB).
Se un sistema operativo Windows, che prima si installava perfettamente, ora si blocca sempre all'avvio della installazione, usando la stessa chiavetta o lo stesso DVD, vuol dire che un virus si è infilato nell'hardware della scheda madre tramite il firmware o sul processore.
Qui i driver non c'entrano proprio nulla.
Ho già scritto che ho estratto il chip del BIOS e che l'ho riprogrammato a parte su un altro PC, tramite programmer USB esterno su scheda connessa tramite USB, usando il software CH341A, e che ciò non serve a nulla, poiché dopo il primo boot, il chip modifica circa 200 KB del proprio contenuto da 8 MB, senza nemmeno aver configurato il BIOS, solo accendendo, spegnendo e ricontrollando il chip sul programmer.
Inoltre il Bios accetta la riprogrammazione "in sede" tramite sia EZ mode che con il flash direttamente da Windows, ma non accetta la riprogrammazione tramite DOS da CD o USB esterno, in quanto si blocca subito l'avvio del software di riprogrammazione in DOS con il file del firmware originale dell'ASUS.
Insomma, i driver non c'entrano proprio nulla.
Secondo me qui siamo in presenza di un virus che usano i servizi segreti stranieri, in specie russi, cinesi e statunitensi, in grado di contaminare i firmware di qualche componente hardware, oltre al chip del BIOS.

Intanto ho deposto le armi, ed ho ordinato proprio oggi una nuova scheda madre ASUS B85M-E /DASH a 65 euro, un nuovo processore INTEL CORE I5-4690 SOCKET 1150 LGA a 36 euro e due nuovi banchi di memoria RAM DDR3 da 8 GB ciascuno per un totale di 50 euro.
Toglierò l'hardware infetto e reinstallerò Windows 10 ultima release, tanto copierò tutto il materiale che è sugli altri dischi nelle varie partizioni, dopo avere ben disinfettato ogni cosa con antimalware, ma connettendo ogni disco invece che alla scheda madre tramite i connettori SATA, tramite dispositivi adattatori USB esterni, in modo che le protezioni siano già attive sul sistema già avviato, prima di connettere i dischi.
Invece se attacco ogni disco alla scheda madre con la connessione sata, potrei rischiare al boot che un eventuale rootkit possa agire sul firmware del BIOS prima ancora che siano in azione le protezioni antimalware del sistema operativo.
Concludo considerando che allo stato attuale dell'arte, e dopo oltre due mesi dal mio post, nessuno abbia pensato di riflettere su questo mio post, preoccupandosi di una minaccia che invece mi è stata confermata da vari esperti contattati telefonicamente a Milano, e che si occupano di sicurezza informatica da decenni,e che ringrazio per avermi dato ragione sulle mie ipotesi.
Infatti nei convegni ad alto livello a Milano ed altrove, anche ovviamente all'estero, si discute da qualche tempo di minacce serie alla sicurezza informatica provenienti dai grupppi hacker istituzionalizzati con il coordinamento di servizi segreti esteri, in grado di attaccare sistemi BIOS-UEFI e di infettare firmware dei PC.
Quindi posso ritenere chiuso questo post per mancanza di valide consulenze sull'argomento, ringraziando Hardware Upgrade per aver ospitato questo mio post.
rotylsen è offline   Rispondi citando il messaggio o parte di esso
Old 08-06-2022, 20:58   #4
WELive
Member
 
Iscritto dal: Oct 2012
Messaggi: 265
Lungi da me definirmi esperto di virus, ma un paio di domande mi sorgono spontanee...

1) I virus usati dai servizi segreti sono fatti per destinatari specifici, non è che li trovi in "giro". Tu chi sei? Un obiettivo sensibile? Un alto esponente? Un'autorità? O una persona come un'altra? Lo dico senza alcuna offesa eh.

2) Mettiamo che tu abbia ragione. Che sia un super virus dei servizi segreti. Ma a che pro? Farti buttare l'hardware? Cioè non riesci più ad installare Windows... A che serve questo virus? I virus quelli "seri" fatti da agenzie governative vogliono prendere dati, magari registrare le attività, registrare lo schermo, la webcam, controllare la posta ecc. non fare in modo che non installi Windows, anzi lo DEVI installare.

3) Secondo te un super virus di questa portata, è ti basta un passata di anti-malware per stare sicuro? Che ne sai? È uno zero day, chi lo scova? Devi buttare tutto, dati compresi magari modificati a livello di byte/firma, per lo stesso principio che magari ormai tutto è compromesso, non ti salva una USB invece di una SATA

Tra il virus super segreto e l'hardware che magari è a fine ciclo (ha giusto quel "paio di anni"...) e per i motivi più disparati è impazzito e non riconosce più niente, punto sulla seconda...
WELive è offline   Rispondi citando il messaggio o parte di esso
Old 08-06-2022, 21:16   #5
Perseverance
Senior Member
 
L'Avatar di Perseverance
 
Iscritto dal: Jul 2008
Messaggi: 7855
Non penso proprio che sia un virus, è un guasto tipico di quella generazione di mainboard, seppur non così diffuso. E ti è andata bene, di lusso. In tanti casi il bios uefi così corrotto piallava le partizioni GPT di tutti i dischi collegati a controller SATA3: il problema era coi SATA3 se non ricordo male, i dischi ad esso collegati subivano una sovrascrittura della tabella partizioni in quanto ritenuta invalida dal bios corrotto e quindi rigenerata. Questo su molte asrock era la norma a cose normali, ma con quella corruzione del bios fù un disastro a chi capitò.

Aldilà dell'elevata mortalità di questo sfortunato socket\generazione, hai beccato un guasto ben più grave e rognoso.

Poche volte sono riuscito a riparare questo guasto xkè coinvolge 2 (diciamo 3) componenti: il chip bios principale + il chip bios ausiliario ed il PCH. Il problema sembrava nascere dal PCH xkè sbagliava il dialogo d'inizializzazione (sparava dati a caso verso il bios). Avrò riparato questo difetto quattro volte non di più cannibalizzando il pch da altre schede morte di morte violenta.
__________________
System Failure
Perseverance è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Apple MacBook Air M3: chi deve davvero comprarlo? La recensione Apple MacBook Air M3: chi deve davvero comprarlo...
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Italia strategica per Oracle. Arriva la ...
Sam-Bankman Fried: 25 anni di reclusione...
Mobility Analytics di WINDTRE Business p...
Il lander lunare JAXA SLIM si è r...
Warframe conquista l'iPhone: senza soluz...
Marvel Rivals!, l'inaspettato shooter Pv...
Twitch aggiorna le linee guida sui conte...
Galaxy M55 ufficiale: la nuova fascia me...
Google corregge sette vulnerabilit&agrav...
IA: le imprese italiane sono in prima li...
Garmin Dash Cam 57: un'alleata perfetta ...
Elgato Facecam MK2: come rendere ancora ...
2 iRobot Roomba al prezzo più sco...
La tua connessione in fibra ottica potre...
Il controller DualSense per PS5 con un p...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 20:15.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www2v