[English]Warnung an IT-Dienstleister und Blog-Leser, die sich schon mal auf eBay einen gebrauchten Windows-Notebook, oder ein Tablet oder in Desktop-PC-System kaufen. Ein Leser wies mich die Woche darauf hin, dass er vom Anbieter Priceholes-com über eBay refurbished Panasonic Toughpads FZ-G1(F) bestellt hatte, dann aber feststellen durfte, dass diese mit Malware infiziert waren. Er hat den chinesischen Wurm Synaptics.exe auf den Systemen gefunden.
eBay-Anbieter Priceholes-com
Auf der Plattform eBay tummeln sich ja eine Reihe Händler, die aufbereitete Hardware (refurbished Systeme) anbieten. Einer dieser Anbieter ist die PriceHoles.com Ltd aus Großbritannien, die auf eBay unter Priceholes-com auftritt.
Von diesem Anbieter werden auch refurbished Panasonic Toughpads FZ-G1(F) auf eBay angeboten. Es handelt sich dabei um Industrie-Tablet-PCs für Windows mit vernünftiger Ausstattung.
Leser findet Synaptics.Exe Wurm
Blog-Leser Volker hat mich die Woche per E-Mail kontaktiert und über einen unschönen Vorfall berichtet (danke für den Hinweis). Er gibt an, über den eBay-Anbieter PriceHoles-com diverse Panasonic Toughpads FZ-G1(F) erworben zu haben. Solche Geräte werden unter diesem eBay Link angeboten.
Die Käufer können dabei wählen, ob die Geräte mit Windows 7 oder Windows 11 24H2 ausgeliefert werden. Der Käufer braucht das Gerät nur einzuschalten, und dann findet die Windows (OOBE) Installation über das auf dem Gerät abgelegte Installationsabbild statt. Nach dem Einrichten hat der Käufer dann ein frisches System.
Da Volker als IT-Dienstleister arbeitet, installiert er das Betriebssystem bei gebraucht gekauften Geräten "immer frisch" von einem eigenen Installationsdatenträger. Aber er schaut sich die Geräte vor der Installation immer an und prüft, ob die Software auf den Datenträgern des Systems "sauber ist.
Als er die Panasonic Toughpads FZ-G1(F) vor der Windows-Installation überprüfte, machte er eine unschöne Entdeckung. Auf einigen der mit einem Windows 11 24H2 Installationsabbild gelieferten Geräte fand sich im Ordner ProgramData eine Datei synaptics.exe in einem versteckten Ordner Synaptics.
Da das Gerät keine Synaptics-Komponenten besitzt, wurde der Leser stutzig und hat das System einem Virenscan unterzogen. Bei der Datei Synaptics.Exe handelt es sich um den "altbekannten" chinesische nSynaptics.exe "Network Worm", schrieb er mir.
Der Synaptics.Exe Wurm
Sucht man im Internet nach "Synaptics.Exe Wurm", gibt es zahlreiche Treffer, die bis in das Jahr 2020. Hier einige Fundstellen aus dem Internet, die sich mit dieser Malware, die als Trojaner fungiert, befassen.
reddit.com: Found The Synaptics Worm
reddit.com: Virus on driver. Is this a false positive or real virus?
virustotal.com: Synaptics.exe
File.net: Erläuterung auf file.net zu Synaptics.exe
AnyRun: Analyse auf AnyRun
Der Leser hatte kaum noch ein Zweifel, das es sich bei der entdeckten Datei synaptics.exe um besagten Wurm "Worm:Win32/AutoRun.XXY!bit" handeln muss.
Die große Gefahr, einen Trojaner einzuschleppen
Der Leser hat sich dann natürlich sofort einige Gedanken gemacht, denn dieser Reseller verkauft wahrlich sehr viele (dieser) Geräte und hat 99,8% positive Bewertungen. Laut Leser sind die gelieferten Geräte in einem Top-Zustand und die vorinstallierte Windows Version hat nur ein Panasonic Tool und ein UMTS Tool vorinstalliert.
Käufer stellen womöglich erst sehr spät fest, dass die Geräte infiziert sind. Denn der in Windows 11 24H2 integrierte Windows Defender schlägt erst nach einiger Zeit Alarm. Nur wenn der Defender im Rahmen eines Offline-Scan mit der Überprüfung der Systemdateien beginnt, wird sofort ein Malware-Fund gemeldet.
Eine Vermutung des Lesers ist noch, das kurz nach dem OOBE-Prozess der (versteckte Ordner) Synaptics unter ProgramData angelegt wird. Sollte diese Variante tatsächlich, wie von anderen Leuten beschrieben, weitere EXE-Programmdateien infizieren, so ist bereits das Einstecken von USB-Sticks, um z.B. die Treiber vom Installationsmedium zu retten oder etwas auf den Speicher zu kopieren ein potentielles Infektionsrisiko, merkt der Leser an.
Der Anbieter PriceHoles.com Ltd wurde vom Leser über den Sachverhalt informiert und will sich, laut einer ersten Rückmeldung, um den Fall kümmern. Bisher liegen da aber noch keine Ergebnisse vor. Daher ist der Blog-Beitrag als Warnung und Hinweis zu verstehen, gekaufte (refurbished) Geräte als potentiell verseucht anzusehen und vor der Inbetriebnahme einer Prüfung auf Schadsoftware zu unterziehen.
MVP: 2013 – 2016
Nach 1) – 3) kann man schon das Gefühl bekommen, dass hier etwas nicht ganz sauber ist. Heruntergekommenes Firmendomizil (die Streetview-Ansicht um 180 Grad drehen!), auf Facebook stammen die jüngsten Angebote aus 2022 (lediglich 2 Artikel), zuvor wurde 6 Jahre nichts gepostet. Auf der Website 6 Geräte und 4 Baugruppen/Bauteile, mehr nicht! Geht 's hier wirklich um Computerfachhandel?
1) https://www.facebook.com/priceholes/?locale=en_GB
2) http://www.google.de/local/place/fid/0x48769be4b45a6051:0xa87ced2e7555942f/photosphere?iu=https://streetviewpixels-pa.googleapis.com/v1/thumbnail?panoid%3DgRma3zL7IcQqpmfJ8ygQ6g%26cb_client%3Dlu.gallery.gps%26w%3D160%26h%3D106%26yaw%3D139.31691%26pitch%3D0%26thumbfov%3D100&ik=CAISFmdSbWEzekw3SWNRcXBtZko4eWdRNmc%3D
3) https://priceholes.co.uk/
Vorinstallierte Windows Version auf gebrauchter Hardware ist grob fahrlässiges verhalten. Wer nicht sofort alles platt macht sollte nicht mit Computern arbeiten
und was machst du bei Firmware/BIOS/UEFI Malware?
Ist die Malware gut (und bisher unbekannt) merkst du es doch nicht einmal… plätten und neu installieren von sauberem Medien hilft auch nicht!
Es gibt einfach Dinge die kauf man nicht gebraucht aus unbekannten Quellen (auch nicht neu aus unbekannten Quellen).
Nicht mal ein Viren Experte kann dir nach einem Befall zu 100% garantieren das ein Gerät nach Reinigung safe ist. Der übliche 08/15 Admin soll das aber können? Das hier war einfach Glück, das die Malware
"alt und bekannt" war. Ein unbekanntes 0-Day Exploit und man würde munter seine Daten abziehen lassen.
Zum Glück sind die Gauner eben auch nicht alles Experten ;-p
BIOS nochmal mit der gleichen Firmware flashen wäre zu einfach.
Hilft nicht immer, hängt davon ab wo im BIOS/UEFI die Malware steckt. bei nem BIOS Flash werden nicht alle Teile, zum Beispiel den Bootblock überschrieben…
Leutc die BIOS sagen, sagen auch Schraubenzieher, und outen sich als Laien.
Im Ernst: Die KI sagt u. a. 1). Was Sie nahelegen ist unrealistisch.
Ich kenne aus einem vertraulichen Umfeld einen institutionellen Anwender in Europa (> 10000 Arbeitsplätze), der bei UEFI Malware – schon bei Verdacht – Motherboards grundsätzlich entsorgt.
–
1)
UEFI‐Malware wie LightEater sitzt typischerweise direkt im SPI-Flash der Hauptplatine und kann nur dann entfernt werden, wenn genau die Speicherbereiche, in denen der Schadcode liegt, wieder mit einem sauberen Image überschrieben werden. … Die meisten Hersteller liefern nur Firmware-"Capsules" oder Patches, die einzelne Module (z. B. den UEFI-Driver, ME-Firmware, SMM-Handler) austauschen. Ein solches inkrementelles Update schreibt selten den ganzen Flash-Baustein neu, sondern nur jene Segmente, die sich seit der Vorversion geändert haben. Ein eingefügter Implantat in einem unberührten Segment bleibt also bestehen. Vollständige Abbilder („full ROM images"), mit denen man das gesamte Flash neu beschreiben könnte, stellen OEMs kaum bereit – erst recht nicht signiert und zum selbständigen Einspielen. Ohne so ein vollständiges, sauberes Image lässt sich ein UEFI-Rootkit nicht vollständig überschreiben. …
https://learn.microsoft.com/de-de/defender-endpoint/uefi-scanning-in-defender-for-endpoint
https://www.torsten-traenkner.de/wissen/bios/index.php
Vorinstalliere Windowsversionen auf Neugeräten sich auch nicht viel besser, die meiste Bloatware die da so drauf ist, ist in der Regel auch ein Sicherheitsrisiko.
+1
Jedes neu / gebraucht angeschaffte Gerät sollte generell selbst frisch installiert worden sein. Bei vielen bzw. vor allem größeren Unternehmen ja sowieso (teil-)automatisiert.
Das vorinstallierte Windows immer nur dazu nehmen, um festzustellen, ob der frisch ausgepackte PC funktioniert, dass im Gerätemanager alle Geräte aktiv sind. Und dann notoeren, welche Treiber und Software installiert ist, und sich die erstmal von den Herstellerseiten in der neuesten Version besorgen. Dann platt machen und neu installieren.
Damit hat man betriebssystemseitig alles richtig gemacht. Nur gegen Viren aus UEFI usw. hilft das leider auch nicht. Aber ein derartig präüariertes System ist dann auch schon sehr speziell.
Und wo liegt jetzt der Unterschied zwischen Win11 und dem Wurm? Beides Schmus, den man nicht haben will.
Und wo liegt jetzt der Unterschied zwischen Linux und Textadventure? Beides Schmus, den man nicht haben will.
Eine gute Linux-Distribution ist immer dem Versager-Betriebssystem Windows 11 vorzuziehen. Offenbar gibt es unzählige Windows 11-Fanboys und Fangirls – auch bei sehr vielen Firmen! – ….. welche sich vom Microsoft-Marketing überschwatzen liessen, Windows 11 zu installieren ….. und nun partout nicht zugeben wollen, dass sie auf gut Deutsch mit dem minderwertigen, unausgegorenen Betriebssystem Windows 11 verarscht wurden.
Wenn ich Hardware gebraucht kaufe ist das erste was ich mache, die Festplatte zu tauschen.
Was soll das in Bezug auf UEFI Malware bringen?
Naja die Ironie ist ja das der Synaptics Treiber zumindest in der Vergangenheit eine Debugging Funktion enthielt die bei manchen Herstellern aktiv war und sämtliche Tastatureingaben im Klartext in eine Datei mitschrieb :)
Ich bin dermaßen mistrauisch geworden das ich heute nicht nur neuinstalliere sondern zuvor noch einen Secure Erase mache! Wobei sich der Aufwand bei vielen verbauten SSDs nicht lohnt und ich die gleich austausche. Hilft bei EUFI Malware halt auch nicht mehr :(
" Wobei sich der Aufwand bei vielen verbauten SSDs nicht lohnt und ich die gleich austausche"
Das ist bei immer mehr Notebooks echt schwierig, da inzwischen häufig "verlötete" SSDs verbaut sind. Und man die Dinger teilweise nicht mal vernünftig aufbekommt ohne was kaputt zu machen. Was war das noch schön, als es auf Geräteunterseiten entsprechende Klappen gab, die man einfach aufschrauben konnte, um an RAM, HDD und co ranzukommen. Und abnehmbare Akkus, so dass man die Dinger auch wirklich stromlos schalten konnte.
Ist das jetzt auch schon bei den gehobenen Modellen so? Die zeichneten sich früher – im Gegensatz zu den Mediamarkt-Knallern – eben dadurch aus, dass man sie ruckzuck öffnen und Komponenten austauschen konnte. Anders macht „Refurbished" ja kaum Sinn, schon weil die CMOS-Batterie nach ein paar Jahren zwingend erneuert werden muss.
Aber klar, Weiterverwenden ist nicht im Sinn der Hersteller, die immer wieder neuen Elektroschrott verkaufen wollen.
Das ist eher Herstellerabhängig als vom Preis, beim letzten Dell Notebook für 300€ habe ich direkt Ram, SSD und WLAN-Karte getauscht :) Dell stellt auch entsprechende Anleitungen zur Verfügung. Mehr als einen feinen Kreuzschlitz und ein Plektrum habe ich dafür nicht gebraucht. Lenovo dafür sperrt z.B. auch WLAN-Karten im Bios/UEFI. Mir kommt ein Notebook ohne wechselbare SSD nicht ins Haus, zumal diese lahmen Gurken die da verbaut werden von meiner alten 970 Pro fast immer in Grund und Boden gestampft werden. Bei Notebookcheck kann man auch gut herausfinden wie wartungsfreudlich das jeweilge Modell ist.
Zumindest bei ultramobilen ist es so, wie Daniel A sagt (meine letzte "Schlachtung" ist aber schon ein paar Jahre her). Ich habe gestreikt und die Dinger in die Zentralwerkstatt geschickt.
Die Akkus konnte man per Steckverbinder abtrennen, das war kein Hexenwerk.
Kommt wohl eher drauf an, wie dünn das Gerät ist. Je flacher, desto höher die Wahrscheinlichkeit, dass die Geräte komplett zu sind. Habe ich persönlich schon bei Business Notebooks von HP und bei den Surface Geräten von MS gehabt. Und bei bestimmten Lenovo Thinkpads auch. Also durchaus teurere Geräte im Preisbereich 900€ bis 1400€.
Darf ich Dich in Deinem Mißtrauen noch bestärken?
Ich habe mir für's Pentesting und Auditing dieses kleinen Helferlein gebaut:
Sichert jede Sekunde den Textinhalt der Zwischenablage weg. Ideal für Terminalserver, oder wenn irgendwelche Remote eingewählte Externe Ihre Passwörter über die Zwischenablage eingeben…
https://codeberg.org/tomas-jakobs/clipboard-auditor
> Sichert jede Sekunde den Textinhalt der Zwischenablage weg.
Verstehe ich nicht. Sie sichern anderer Leute Passwörter weg, die jene in die Zwischeneingabe einfügten? Sofort löschen per Tool hätte ich ja noch verstanden, aber sichern?
Pentesting und Auditing.
Versetz' Dich mal in die Lage eines Eindringlings. Was meinst Du, wie man bequem an Passwörter kommt, die idealerweise Copy & Paste aus einem Passwortmanager kommen? Mit der auf dem Zielrechner selbst compilierten .exe schlägt auch kein Schlangenöl an ;-)
> Mit der auf dem Zielrechner selbst compilierten .exe schlägt auch kein Schlangenöl an ;-)
Schlangenöl vielleicht nicht. Da Sie Ihr Tools aber in einer Hochsprache (Freebasic) erstellten, glaube ich nicht, dass Sie einschlägige API-Funktionen wie bspw. 1) umschiffen konnten. Haben Sie Ihr Tool schon mal auf von CrowdStrike Falcon Insight überwachten Systemen laufen lassem?
1) https://docs-cortex.paloaltonetworks.com/r/Cortex-XDR/Cortex-XDR-Analytics-Alert-Reference-by-Alert-name/Uncommon-GetClipboardData-API-function-invocation-of-a-possible-information-stealer
Jepp, Menschen glauben viel und geben noch mehr Geld für Schlangenöl, EDR und AV Blödsinn aus. Bis jetzt kenne ich keine Sicherheitslösungen, die bei alle paar Minuten neu compilierten, jeweils immer modifzierten Dateien mit anderen internen Funktionsnamen angeschlagen hat. Da kommen irgendwelche Heuristiken und Signaturen nicht mit.
Das einzige was bei Windows hilft ist App-Whitelisting und offline gesetzte Systeme. Alles andere ist Compliance Bullshit und Sicherheitstheater.
Ein Grund weshalb die Keepass Type-in-Window Funktion so wichtig ist.
Leider nein, so einfach ist es nicht. Es kommt wie immer darauf an.
TCATO (Two-Channel-Autotye-Obufcasion) was Du meinst hat Keylogger zum Ziel, nicht solche Tools, die eine Zwischenablage überwachen.
Erst wenn auf der Gegenseite ein entsprechendes Plugin sitzt kann zumindest der Inhalt der Zwischenablage "obfocusiert" werden. Das kommt mit Nachteilen:
a) es ist AFAIK derzeit nur bei Webbrowsern der Fall, nicht aber z.B. bei RDP-Clients, nativen Apps etc.
b) die IPC Kommunikation der Plugins ist zumindest unter Windows transparent für andere Prozesse mitlesbar.
c) Jedes injected Javascript oder iFrame (z.B. durch ein anderes Browser-Plugin liest die Passworteingaben trotzdem mit.
Fakt ist: Wenn Du im User-Kontext es schaffst nur ein executable Binary einzuschleusen, war es das. Dann sind die Passwörter des Users alle verbrannt, selbst wenn diese in einem Passwortmanager sein sollten. Passwortmanager helfen einem Verteildiger nur etwas mehr Zeit zu gewinnen und einen Angreifer bei seiner weiteren lateralen Bewegung eher zu entdecken.
Die Wissenschaft ist sich da einig, Plugins in Webbrowsern ist der denkbar schlechteste Ort für alles, was mit Sicherheit und Verschlüsselung zu tun hat. Hier das IMHO meist zitierte Paper dazu:
https://crypto.stanford.edu/~dabo/pubs/papers/pwdmgrBrowser.pdf
Aus diesem Grund ist es immer noch sinnvoll und Empfehlung, Passwortmanager (und AutoType Plugins) einzusetzen. Es macht als Maßnahme die Situation etwas besser, aber auch komplizierter und somit erhöhen sie die Angriffsoberfläche und somit die Ansetzpunkte, wo jemand zur lateralen Bewegung erfolgreich mitlauschen kann.
Again: App-Whitelisting zur Verhinderung von ubekannten Executables und und Offline Setzung des Windows zur Verhinderung des Nachladens einer Payload. Das sind IMHO die Sicherheitsmaßnahmen, auf die es bei jeder Windows Installation ankommt.
Es reicht doch löschen und TRIM. Da TRIM meist schon bei einem Reboot ausgeführt wird, ist das Handling bei SSDs deutlich einfacher, als bei HDDs. Was aber leider auch bedeutet, dass klassische Datenrettungssoftware mit SSDs nicht mehr funktioniert, wie ich selbst vor ein paar Jahren feststellen musste. Da wurden nur noch die Verzeichniseinträge wiederhergestellt, aber die referenzierten Dateien hatten 0 Byte.
Bei Gebrauchtkauf wo man den vorherigen Besitzer nicht gut kennt, ist das Risiko immer erhöht! Wegen Firmware und BIOS/UEFI Malware nützt es auch nix einfach nur platt zu machen und sauber neu zu installieren.
Wer sich das Risiko nicht leisten kann, kauft nicht gebraucht aus unbekannten Quellen!
Durch wiederholen wird es nicht wahrer. BIOS nochmal mit der gleichen Firmware flashen wäre zu einfach.
++Security Intelligence-Update für Microsoft Defender Antivirus Version 1.431.129.0
Microsoft Edge Version 137.0.3296.93
Microsoft Edge WebView2-Runtime Version 137.0.3296.93
sind now Online!
und ist nunmal falsch (siehe mein Beitrag oben) ein BIOS Flash kann helfen, muss es aber nicht! Hängt von der Malware ab und wo im Bios die verankert ist! Nen BIOS besteht aus verschiedenen Teilen: Bootblock Loader BIOS Datenteil Microcode Interface etc. Nen Flash löscht dabei nicht alles. Da müsstest du schon den kompletten Chip tauschen, was wenn gesockelt noch problemlos möglich (heute allerdings selten) oder mit nem externen Progger dran, damit kannst dann alle Teile überschreiben.
Nur mal aus Neugier: wieviele von euch haben den so einen rumliegen?
***********************
Durch wiederholen wird es nicht wahrer.
***********************
back to sender ;-P
Und dann gibt es da noch Firmware in Baseband Komponenten der Netzanbindungen u.ä.
Man könnte den Chip auch eingelötet mit einem externen Flasher flashen. Sowas gibt es günstig bei Amazon. Hab mich vor einem halben Jahr damit beschäftigt nachdem das Flashtool für die Intel Netzwerkkarte leider das Mainboard von meinem Router gekillt hat und Dual Bios erstmal gar nichts tat. Hatte dann auf die Schnelle nur das Mainboard getauscht (ich habe tatsächlich eine Reserve für Notfälle) und mir das Board ein paar Wochen später nochmal angesehen. Dabei habe ich einen nicht dokumentierten Dual Bios Jumper gefunden, also kann ich nicht den Beweis antreten dass das auch wirklich funktioniert ;)
Also wenn man mittels bspw. CH341A das Ganze frittiert und Hersteller-BIOS wieder einspielt ist alles in Ordnung?
Ich frage nur. Aber zwei vermurkste Updates durch Stromausfall konnte ich so wieder ungeschehen machen.
Es hängt immer von der Hardware ab und überschreibt immer jede vorhandene Firmware auf und im dem Motherboard. Bei einem AIO ist das einfach, aber wenn zusätzliche externe Moni, GPUs, NICs usw. vorhanden sind, dauert es etwas länger.
Würde es helfen, das UEFI-BIOS zu resetten und neu aufzuspielen, falls das überhaupt geht?
Auf dem Gebiet bin ich kein Spezialist.
Wenn ich mir die "To-Dos" für Gebraucht- / Refurbishedgeräte hier in den Kommentaren ansehe, stellt sich mir die Frage: Lohnt das überhaupt noch, bei der Zeit die dann noch in die Geräte gesteckt wird / werden sollte?
Auch der Leser aus dem Artikel schaut sich die Geräte vorher noch an anstatt einfach gleich neu aufzusetzen. Wieso steckt man da dann noch Zeit rein?
Das kommt aufs Gerät drauf an.
Ein neues Panasonic Toughpad MK 5 kostet neu um die 2.500,- €, gebraucht bekommt man es für um die 500,- €, also 2.000,- € gespart.
Und selbst wenn man da noch ein Wochenende Arbeit rein steckt und das mit seinem Stundenlohn im Job verrechnet, lohnt es immer noch.
> also 2.000,- € gespart.
Nein bzw. nur aus reduzierter Fachinformatikersicht. Rational betrachtet gilt ein nach 1) ermittelter Wert. Und nein, Abschreibungsmethoden wohnt nicht nur eine buchhalterisch-fiskalische Logik inne!
1) https://wirtschaftslexikon.gabler.de/definition/abschreibung-31208
Sicher kann man sich tätsächlich überhaupt nicht sein, was die Kompromittierung durch Malware betrifft. Es muss ja nicht immer der klassische Trojaner/Wurm/Virus oder Ransomwareerpresser sein, selbst wenn Rootkits das UEFI/BIOS kapern und sich so tief einnisten, das nur ein Motherboardtausch den Schädling eliminieren kann. Noch perfider und hinterhältiger sind demnach kompromittierte Supply-Chains der Hardware Hersteller mit Hardware-Trojanern und es gilt als gesichert, das zumindest einige Staaten bzw. deren Geheimdienste über diese Fähigkeiten verfügen und sie gezielt einsetzen.
Viele wissen auch nicht, dass alleine schon in ihrer CPU nochmal ein ganz eigener Rechner mit eigenem Betriebssytem läuft…
Quelle: https://www.intel.com/content/www/us/en/support/articles/000008927/software/chipset-software.html
Was hat das mit Trojanern zu tun?
Das ist ein Hardware-Trojaner. Einer von mutmasslich vielen in der Hardware…
Ähm, nein?