Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Firmware update Boot Config

26-11-2017, 15:52 door flyingmarc, 15 reacties
Hoi ik stel mijn vraag even hier daar ik niet goed kan inschatten wat er gaande is.

Ik krijg van mijn spyshelter firewall een alertscherm te zien met het volgende:

26-11-2017 11:38:34,C:\Windows\System32\taskhostw.exe,26,Blocked ;Modifying protected registry key (HKLM\BCD00000000\Description,FirmwareModified)

Omdat ik weet dat je heel voorzichtig moet zijn met firmware-updates heb ik deze actie voorlopig geblocked of ik hier goed aan doe weet ik niet maar de informatie die de logfile geeft is te summier. Omdat het ook nog eens om een protected registrykey gaat ben ik huiverig dit toe te staan.

Heeft iemand een idee wat hier precies gebeurd en wel of niet blijven blocken.
Reacties (15)
26-11-2017, 18:45 door Anoniem
Door flyingmarc: Hoi ik stel mijn vraag even hier daar ik niet goed kan inschatten wat er gaande is.

Ik krijg van mijn spyshelter firewall een alertscherm te zien met het volgende:

26-11-2017 11:38:34,C:\Windows\System32\taskhostw.exe,26,Blocked ;Modifying protected registry key (HKLM\BCD00000000\Description,FirmwareModified)

Omdat ik weet dat je heel voorzichtig moet zijn met firmware-updates heb ik deze actie voorlopig geblocked of ik hier goed aan doe weet ik niet maar de informatie die de logfile geeft is te summier. Omdat het ook nog eens om een protected registrykey gaat ben ik huiverig dit toe te staan.

Heeft iemand een idee wat hier precies gebeurd en wel of niet blijven blocken.

Waarom zou je zomaar voorzichtig moeten zijn? Bijna niemand hoeft dit namelijk?
Daarnaast de eerste reactie van deze applicatie is... Kan meer verkeerd doen, dan goed doen zeker als je niet weet wat je doet. Keylogger blockeren.... Ik geloof dit soort tools niet. Kans is groter dan er een bugje in dit soort software zit, dan dat het werkelijk een keylogger zou blockeren. Maar dat is mijn gevoel.

Zeker zomaar blocken kan problemen geven aangezien je dingen aan het goed bent, die standaard niet verwachten. Iets wat jij nu zo juist aan het doen bent.
26-11-2017, 21:00 door Anoniem
Heeft iemand een idee wat hier precies gebeurd en wel of niet blijven blocken.

Mogelijkheid 1: je was bewust een firmware update aan het doen => niet blokkeren
Mogelijkheid 2: je was geen firmware update aan het doen, maar bezocht een malicious website of probeerde een malicious gedownload programma te installeren die een rootkit in je BIOS probeerde te installeren. => blokkeren
Mogelijkheid 3: vals alarm => niet blokkeren als blokkeren problemen geeft


Dus begin eerst maar eens nauwkeurig te vertellen wat je aan het doen was toen je de waarschuwingsmelding kreeg.
26-11-2017, 22:58 door Anoniem
Door flyingmarc: Hoi ik stel mijn vraag even hier daar ik niet goed kan inschatten wat er gaande is.

Ik krijg van mijn spyshelter firewall een alertscherm te zien met het volgende:

26-11-2017 11:38:34,C:\Windows\System32\taskhostw.exe,26,Blocked ;Modifying protected registry key (HKLM\BCD00000000\Description,FirmwareModified)

Omdat ik weet dat je heel voorzichtig moet zijn met firmware-updates heb ik deze actie voorlopig geblocked of ik hier goed aan doe weet ik niet maar de informatie die de logfile geeft is te summier. Omdat het ook nog eens om een protected registrykey gaat ben ik huiverig dit toe te staan.

Heeft iemand een idee wat hier precies gebeurd en wel of niet blijven blocken.

Kijk handmatig of er firmware van jouw fabrikant voor jouw computer beschikbaar is.
Installeer de beschikbare firmware van jouw fabrikant voor jouw computer.
Kijk of het probleem zich nog blijft voordoen.
27-11-2017, 08:55 door flyingmarc - Bijgewerkt: 27-11-2017, 08:57
Ik was niets aan het doen op het moment van de melding ik had net mijn pc aangezet en nog geen 1 minuut later komt deze melding. Ook bezoek ik geen besmette sites, ook installeer geen applicaties die malafide zien dus dat kan het niet zijn en omdat vanmorgen opnieuw het alertscherm kwam heb ik wederom geblocked.

De firmware geeft niet aan wat het gaat updaten alleen dat het om de bootconfig zou gaan en die wil ik niet aanpassen dus vermoed ik dat het hier om een mogelijke malafide actie gaat.

Door Anoniem:
Heeft iemand een idee wat hier precies gebeurd en wel of niet blijven blocken.

Mogelijkheid 1: je was bewust een firmware update aan het doen => niet blokkeren
Mogelijkheid 2: je was geen firmware update aan het doen, maar bezocht een malicious website of probeerde een malicious gedownload programma te installeren die een rootkit in je BIOS probeerde te installeren. => blokkeren
Mogelijkheid 3: vals alarm => niet blokkeren als blokkeren problemen geeft


Dus begin eerst maar eens nauwkeurig te vertellen wat je aan het doen was toen je de waarschuwingsmelding kreeg.
27-11-2017, 09:46 door -karma4
Met firmware updates moet je ontzettend oppassen! Als je in het updateproces iets onderbreekt dan zit je zo met een gebrickt systeem. En als je de administratie van de updater verhindert bijgewerkt te worden dan is dat vast ook niet bevorderlijk bij een eventuele volgende poging met een nieuwere versie.
27-11-2017, 10:44 door Anoniem
Door flyingmarc: Ik krijg van mijn spyshelter firewall een alertscherm te zien met het volgende:

26-11-2017 11:38:34,C:\Windows\System32\taskhostw.exe,26,Blocked ;Modifying protected registry key (HKLM\BCD00000000\Description,FirmwareModified)

Ik heb hier ook gewoon een taskhostw.exe draaien onder Windows 10 CU. Bovendien is die digitaal ondertekend door Microsoft Windows, dus het is vast een betrouwbaar proces. "Host Process for Windows Tasks" zegt de File description.

Zoals ik de melding lees, wordt er door taskhostw.exe geschreven naar een registry sleutel. En spyshelter wil dit niet.

Ik zie helemaal geen bewijs dat er ergens een firmware wordt geflashed met malware. Bovendien gaat echte malware niet naar register sleutels schrijven om melding te maken hiervan, maar zal echte malware gewoon je firmware overschrijven zonder daar een melding van te doen aan windows.

Ik zou zeggen, maak je niet druk.
27-11-2017, 11:00 door Tha Cleaner
Door flyingmarc: Ik was niets aan het doen op het moment van de melding ik had net mijn pc aangezet en nog geen 1 minuut later komt deze melding. Ook bezoek ik geen besmette sites, ook installeer geen applicaties die malafide zien dus dat kan het niet zijn en omdat vanmorgen opnieuw het alertscherm kwam heb ik wederom geblocked.

De firmware geeft niet aan wat het gaat updaten alleen dat het om de bootconfig zou gaan en die wil ik niet aanpassen dus vermoed ik dat het hier om een mogelijke malafide actie gaat.
De kans dat dit het geval is, is gewoon zeer klein. Kans is vele vele malen groter, dat deze applicatie gewoon een false positive doet. Deze applicaties doen vaak meer kwaad dan goed. En dit is juist waarom.

Kans is groot dat dit trouwens Windows Update is, die kan tijdens detectie en installatie ook het 1 en ander doen met de BCD. Heb al ervaring op bepaalde Thinclients waarbij de UWF aanstond, en ik de machine moest herinstalleren nadat ik een reboot deed terwijl die hiermee bezig was. Daarom BCD aanpassingen blockeren kan ook voor grote problemen geven.

Daarom dit soort applicaties doen vaak meer kwaad dan goed. Zeker als je eigenlijk ook geen kennis hebt van wat het werkelijk doet. Het probeert in te grijpen, op dingen waar het gewoon vanaf moet blijven.

Kans dat je malware probeert te installeren is gewoon zeer klein.
Kans is veel groter dat je straks problemen gaat krijgen door je huidige unsupported acties.
27-11-2017, 14:29 door Anoniem
Welk OS draai je? Windows neem ik aan? Geen Vista?
Maakt je PC gebruik van EFI?
Zitten er componenten in je PC waar je onlangs iets aan hebt veranderd?
27-11-2017, 14:42 door Anoniem
Door flyingmarc: Hoi ik stel mijn vraag even hier daar ik niet goed kan inschatten wat er gaande is.

Kan je software leverancier hierbij niet helpen?
27-11-2017, 15:36 door Anoniem
Heeft iemand een idee wat hier precies gebeurd en wel of niet blijven blocken.

Heb je een MD5 hash van het taskhostw.exe bestand ? Zodat je kan nakijken of het het originele bestand is ? Moeilijk te zeggen of het het originele bestand is, of niet.

Ik heb hier ook gewoon een taskhostw.exe draaien onder Windows 10 CU. Bovendien is die digitaal ondertekend door Microsoft Windows, dus het is vast een betrouwbaar proces.

Het kan een betrouwbaar proces zijn. Het kan ook misbruikt worden door malware. Zolang je niet weet of het bestand wel/niet authentiek is, kan je beter geen adviezen gaan geven, gebaseerd op de bestandsnaam.

Op VirusTotal intelligence vind ik bijvoorbeeld ruim 100 malware samples, die je taskhostw.exe manipuleren of vervangen.

Goede vraag eerder in deze thread; was je zelf met een firmware update bezig, of kwam dit onverwachts ?
28-11-2017, 02:06 door Eric-Jan H te D - Bijgewerkt: 28-11-2017, 02:09
Door Tha Cleaner:Kans is groot dat dit trouwens Windows Update is, die kan tijdens detectie en installatie ook het 1 en ander doen met de BCD.

Of één van die door hardware leveranciers voorgeïnstalleerde specifieke onderhoudsprogrammaatjes; zoals bv DellUpdate.

Met ProcMon (van sysinternal/microsoft) kun je proberen uit te zoeken hoe het tot deze poging van de registerwijziging komt.
28-11-2017, 09:32 door Whacko - Bijgewerkt: 28-11-2017, 09:34
Door flyingmarc:
26-11-2017 11:38:34,C:\Windows\System32\taskhostw.exe,26,Blocked ;Modifying protected registry key (HKLM\BCD00000000\Description,FirmwareModified)
Heeft iemand een idee wat hier precies gebeurd en wel of niet blijven blocken.

Ja, er wordt een REGISTRY KEY aangepast... staat er letterlijk. Er wordt geen firmware aangepast. Staat nergens, behalve dat die key zo heet.
2 seconden googlen zegt je waar hij voor dient. http://www.symantec.com/avcenter/reference/Windows_Vista_Kernel_Mode_Security.pdf
Hier staat die registry key in.
Het enige wat deze key aangeeft is of je boot.ini is aangepast. en dat kan prima gebeuren om tal van redenen.
Aangezien het door taskhostw.exe gebeurt niet zo'n zorgen over maken.

Overigens hadden alle bovenstaande reacties ook wel even mogen googlen, er staat veel te veel speculatie in.
28-11-2017, 12:54 door Anoniem
Aangezien het door taskhostw.exe gebeurt niet zo'n zorgen over maken.

Zegt op zich helemaal niets. Immers is taskhostw ook een bestand wat regelmatig wordt aangepast door malware makers. Kan dus goedaardig zijn, of kwaadaardig zolang je niet weet of het bestand authentiek is. Met de Microsoft File Checksum Integrity Verifier kan gekeken worden of het gaat om het authentieke bestand, of een aangepaste versie.

==
Taskhostw.exe file information

The process known as Host Process for Windows Tasks belongs to software Microsoft Windows Operating System by Microsoft (www.microsoft.com).

Description: The original taskhostw.exe from Microsoft is an important part of Windows, but often causes problems. Taskhostw.exe is located in the C:\Windows\System32 folder. Known file sizes on Windows 10/8/7/XP are 71,792 bytes (71% of all occurrences), 71,280 bytes or 71,848 bytes. https://www.file.net/process/taskhostw.exe.html
The taskhostw.exe file is a Microsoft signed file. The program is not visible. Therefore the technical security rating is 12% dangerous, however you should also read the user reviews.

Viruses with the same file name

Is taskhostw.exe a virus? No, it is not. The true taskhostw.exe file is a safe Microsoft Windows system process, called "Host Process for Windows Tasks". However, writers of malware programs, such as viruses, worms, and Trojans deliberately give their processes the same file name to escape detection. Viruses with the same file name are such as Trojan.Gen (detected by Symantec), and UDS:DangerousObject.Multi.Generic (detected by Kaspersky).
==

Aangezien het door taskhostw.exe gebeurt niet zo'n zorgen over maken.

Overigens hadden alle bovenstaande reacties ook wel even mogen googlen, er staat veel te veel speculatie in.

Op basis van de bestandsnaam aannemen dat het bestand bonafide is, is ook een vorm van speculeren.
28-11-2017, 15:44 door Legionnaire
Door flyingmarc: Hoi ik stel mijn vraag even hier daar ik niet goed kan inschatten wat er gaande is.

Ik krijg van mijn spyshelter firewall een alertscherm te zien met het volgende:

26-11-2017 11:38:34,C:\Windows\System32\taskhostw.exe,26,Blocked ;Modifying protected registry key (HKLM\BCD00000000\Description,FirmwareModified)

Omdat ik weet dat je heel voorzichtig moet zijn met firmware-updates heb ik deze actie voorlopig geblocked of ik hier goed aan doe weet ik niet maar de informatie die de logfile geeft is te summier. Omdat het ook nog eens om een protected registrykey gaat ben ik huiverig dit toe te staan.

Heeft iemand een idee wat hier precies gebeurd en wel of niet blijven blocken.

1. Open Command Prompt en Run als Administrator

2. Type sfc /scannow en dan druk Enter om test te beginnen.

3. Na de test kan men in CBS.log zien waar de problemen liggen.

Mocht je er niet uit komen,plaats de Log voor advies en uitleg.
28-11-2017, 17:04 door Anoniem
Door Whacko:
Door flyingmarc:
26-11-2017 11:38:34,C:\Windows\System32\taskhostw.exe,26,Blocked ;Modifying protected registry key (HKLM\BCD00000000\Description,FirmwareModified)
Heeft iemand een idee wat hier precies gebeurd en wel of niet blijven blocken.

Ja, er wordt een REGISTRY KEY aangepast... staat er letterlijk. Er wordt geen firmware aangepast. Staat nergens, behalve dat die key zo heet.
2 seconden googlen zegt je waar hij voor dient. http://www.symantec.com/avcenter/reference/Windows_Vista_Kernel_Mode_Security.pdf
Hier staat die registry key in.
Het enige wat deze key aangeeft is of je boot.ini is aangepast. en dat kan prima gebeuren om tal van redenen.
Aangezien het door taskhostw.exe gebeurt niet zo'n zorgen over maken.

Overigens hadden alle bovenstaande reacties ook wel even mogen googlen, er staat veel te veel speculatie in.

Ja Whacko, ik wist het, maar eerst even voor de zekerheid een paar vragen gesteld in 14:29 anoniem.
Het maakt het trouwens nog niet onmiddellijk allemaal 100% duidelijk. "FirmwareModified" lees ik daar nergens?...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.