Computerbeveiliging - Hoe je bad guys buiten de deur houdt

You Steal Music I Lock Your PC

30-06-2013, 17:07 door WesleySmalls, 7 reacties
Een vriend van mij gaf me een fok-topic met iemand met een wel heel merkwaardig probleem (http://forum.fok.nl/topic/1990699/1/50)
Op eerste gezicht denk ik dan, "dit is een slechte troll", maar het blijkt dus echt te zijn. Een zoekactie op google geeft maar een handvol echte hits naar dit, maar het lijkt me dus toch echt te zijn (?)

http://malwareinfo.nl/you-steal-music-i-lock-your-pc-virus/

Is hier al meer over bekend?
Reacties (7)
30-06-2013, 18:57 door X-max
Hier is inderdaad al meer over bekend maar eigenlijk nog heel weinig om een goed antwoord te kunnen geven.
Er zijn twee topic op PCW+
http://www.pcwebplus.nl/phpbb/viewtopic.php?f=206&t=10229
http://www.pcwebplus.nl/phpbb/viewtopic.php?f=206&t=10231
Ik heb zelf nog geen sample kunnen bemachtigen, maar het is zeker geen HOAX of ander grapje maar wellicht een nieuwe malware variant die werkelijke de BIOS kan flashen.

Of dit enkel oude systemen met een echter BIOS of ook nieuwe systemen met een UEFI kan infecteren weet ik nog niet.
Maar ik blijf hier zeker alert op.
01-07-2013, 01:04 door _____
Hier komt van de week zeker meer nieuws over, nog ff wachten.
01-07-2013, 01:26 door [Account Verwijderd]
[Verwijderd]
01-07-2013, 02:42 door Ilja. _V V
Overigens heeft het zich al verspreid naar Duitsland & New York lees ik net op http://www.wilderssecurity.com/showthread.php?p=2247622. Ook lijkt het erop dat het installatiebestand zichzelf verwijderd, nadat het de BIOS wist (& daarna het dus flasht met alleen een ANSI-afbeelding).
Als dat zo is, dan verklaard dat waarom niets meer werkt.

Aan een ieder die dit tegenkomt & probeert te repareren dus het dringende verzoek om zo goed te zijn om die lcrm.exe eruit te vissen, & op te laden naar https://www.virustotal.com, dan kan het via die weg door de AV-boeren geanalyseerd worden.

Ik heb met deze zoekstring na het lezen van het startbericht op http://www.helpmij.nl/forum/showthread.php/776615-ik-ben-ten-einde-raad?p=4985757&posted=1#post4985757 deze gevonden, & het lijkt een nieuwe verbeterde variant daarop. Bovendien werd die ook het eerst in Nederland waargenomen, maar enig verband is louter speculatie mijnerzijds:

http://www.google.nl/search?hl=nl&source=hp&q=lcrm.exe+malware&meta=&aq=f&oq=

http://www.prevx.com/filenames/2171775207350977213-X1/CRM.EXE.html

Tot slot van dit resume, dat ik maar hier neerzet omdat het vanzelf bij aanvulling naar boven drijft op de voorpagina:
Tot nu toe is alleen de naam XP gevallen, andere open vraag is nog of de slachtoffers op een gebruikers- of een beheerders-account werkten, met een dubbele bios valt het te repareren door over te schakelen & opnieuw te flashen.

P.S: Oja, de mogelijkheid om de bios te flashen in de bios uitzetten is natuurlijk de methode om dit soort virea de toegang onmogelijk te maken!
01-07-2013, 16:16 door Erwtensoep
Door Ilja. _\\//:
P.S: Oja, de mogelijkheid om de bios te flashen in de bios uitzetten is natuurlijk de methode om dit soort virea de toegang onmogelijk te maken!

Dan moet die mogelijkheid natuurlijk wel aanwezig zijn in de bios..
01-07-2013, 19:43 door Anoniem
Vroeger, in de tijd van PDP-11 en zo, had je nog een "readonly" schakelaar
die je om kon flippen om je kostbare geheugen te beschermen. Doch dat
was in de middeleeuwen van de computerij, nu is er een sw schakelaar.
Dat is natuurlijk beter, die kun je ook via de cloud bedienen.
02-07-2013, 01:37 door AA_CS
Het lijkt er op dat het toch een hoax is, zie o.m dit topic op tweakers: http://gathering.tweakers.net/forum/list_messages/1553182. Ook de eigenaar van pcwebplus, malwareinfo en malwareremovalguides verheldert een aantal dingen in dit topic
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.