Pagina 3 di 5 PrimoPrimo 12345 UltimoUltimo
Mostra risultati da 21 a 30 di 48

Discussione: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

  1. #21
    Data registrazione
    Aug 2010
    Sesso
    Uomo
    Messaggi
    341
    Grazie dati 
    41
    Grazie ricevuti 
    176
    Ringraziato in
    131 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    mi pare di aver capito (il mio inglese non è il massimo) che abilitano la funzione sul dip switch: e se proviamo a ponticellarlo manualmente?
    1) il dip switch e' uno switch, se non ce la fai con le dita perche' le leve sono piccole usa la punta di una matita
    poi dovrai entrare nel bios e disabilitare la password o mettere tutto in default,poi riabilita lo switch
    (serve solo per togliere qualsiasi password inserite nel bios hdd compreso).
    .................................................. .................................................. .................................................. .
    2) Fn+esc+power e' per entrare in una sorta di recovery mode del bios
    this function is enabled, the system will force the BIOS to enter a
    special BIOS block, called BootBlock
    in parole povere e' usata come extrema ratio in caso di un flash andato male
    Boot Block is a special block of BIOS. It is used to boot up the system with minimum BIOS
    initialization. The user can enable this feature to restore the BIOS to a successful one if previous BIOS flashing
    process fails.


    special BIOS block, called BootBlock. RD/CSD can use this special BIOS code to recover the BIOS to a
    successful one if previous BIOS flashing process fails. However, before doing this, one Crisis Disk should be
    prepared in WinXP. Detailed steps are as the followings:
    a. Prepare the Crisis Disk in WinXP.
    b. Insert the Crisis Disk to a USB floppy drive which is attached to the failed machine.
    c. While the system is turned off, press and hold Fn+ESC, then press Power Button. The system
    should be powered on with Crisis Recovery process
    .
    d. BootBlock BIOS starts to restore the failed BIOS code. Short beeps should be heard when flashing.
    e. If the flashing process is finished, a long beep should be heard.
    f. Power down the system after you hear the long beep.
    ho inserito volutamente il recovery del bios piu' che altro per completezza
    .................................
    Dimmi come, ho quel codice. Non mi ero mai spinta così a fondo nei Bios, anche se sono convinta che questa password non sia reale
    qui' si entra nel reverse engineering in questo caso nell'hash,per ricavare la master password che tutti i produttori inseriscono,non credo si voglia/possa parlare di questo...,mi ricorda quando ero piu' giovane le notti passate con softice
    p.s dovrebbe essere piu' che sufficente lo switch.

    Per di più ho perso l'unico bios che potevo tentare di mettere sotto dos: mi pareva di averlo preso dal pacchetto scaricato da acer, ma no, da li avevo preso la prima utility flash.exe: quel bios, in tutta la roba che ho cercato e scaricato in questi giorni non ricordo dove l'ho trovato e non lo trovo più
    guardando il sito dell'acer qui' ,questo per l'extensa ma dovrebbe valere anche per gli altri bios,all'interno del pacchetto compresso trovi anche phlash16
    mi hanno assicurato che non esistono virus che attaccano il bios... e come no! Altrimenti, se non si può installare un sistema operativo si può sempre mandare in assistenza a farlo riprogrammare grrr...
    chiaro che ci provino, con i soldi che ti chiedono fai prima a prenderti il kit

  2. # ADS
    Google Adsense Circuito Adsense
    Data registrazione
    da sempre
    Messaggi
    molti
     
  3. #22
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    E' proprio è l'ultima speranza il DIP switch, comunque concordo. Bisogna stare ovviamente attenti perché si tratta comunque di uno switch HW, e se si sbaglia potrebbero essere dolori. C'è per esempio uno switch che cambia la tensione e che quindi potrebbe fare danni fisici alla motherboard. Non sempre viene ben evidenziato lo switch giusto. Alle volte c'è scritto in microscopico CMOS CLEAR.
    La password bios sul manuale Acer è chiamata "password supervisore" e sul manuale c'è scritto:
    Citazione Originariamente scritto da Acer
    Se si dimentica la password, rivolgersi al rivenditore o a un centro di assistenza autorizzato.
    quindi non capisco la frase che ti hanno detto all'Acer (a parte quella che non esiste un virus che intacca la bios), visto che è previsto anche sul manuale. Bisogna ovviamente avere il documento fiscale di acquisto, ma la dolente nota è che si fanno pagare per questo "reset" come viene chiamato sul loro manuale, e quindi sarà per questo che la persona del call center acer non ti dice se e dove c'è l'utility loro, altrimenti no money! Come del resto ha detto il caro cydonia.

    Citazione Originariamente scritto da Acer
    In order to have the BIOS or hard disk password removed (This include any biometric security), the notebook will need to come in to our repair depot for password removal. This service is not covered by warranty and unfortunately there is no other recourse to remove a BIOS or HDD password from the notebook. The flat fee for BIOS password removal is $100.00 US dollars plus tax. If it is a BIOS or HDD password and you would like us to service it for you, please contact our telephone technical support line at 1-800-816-2237. Hours of operation are 7am-9pm CST Monday-Friday and 8am-5pm CST Saturday and Sunday, excluding holidays.
    Comunque sapevo che senza batteria tampone (e batteria notebook, e qualsiasi altra fonte elettrica) si faceva quasi la stessa cosa.... mi sembra strano che sia su un circuito che rimane memorizzato anche senza alimentazione. Almeno a me non è mai successo.

    Sui manuali dei server Gateway Acer c'è addirittura spiegato come si fa a resettare la bios
    ServerAcer.jpg

    Che modelli sono i 2(3) notebook acer?
    Ultima modifica di Kirk78; 16-12-11 alle 09: 17.

  4. #23
    Data registrazione
    Oct 2009
    Messaggi
    255
    Grazie dati 
    173
    Grazie ricevuti 
    259
    Ringraziato in
    141 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Là, era un pezzo che si stava tranquilli, finalmente qualcosa di serio.

    E' da qualche giorno che osservo e cerco, ma vedo che bene o male a questo punto è stato detto di fare quello che avrei provato anch'io, e come voi ho finito le risorse.
    Comunque

    @ Kirk

    Sono Acer 52xx, Lady ci dirà poi quali

    @ Lady
    I soliti ben informat* (e che hanno cercato meglio di me) mi hanno segnalato questo paio di links per il BIOS:
    1. How to clear an unknown BIOS or CMOS password.
    2. How do I clear a laptop CMOS password?
    prova a vedere se servono a qualcosa.

    A prescindere dal fatto che si tratti di mebroni o altro, sarebbe utile riuscire a tirar fuori un dump dell'MBR con qualche Live Linux, solo che per fare questo credo sia necessario rifare tutta la trafila di pulizia e formattazione HDD e quant'altro altrimenti fino lì non ci si arriva.


  5. #24
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,798
    Ringraziato in
    719 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Citazione Originariamente scritto da cydonia
    il dip switch e' uno switch
    Domani mattina rismontiamo il notebook e cerchiamo meglio, però avevamo trovato solo contatti
    Quella pagina della acer da dove l'hai riesumata? La cercavo, ma adesso ti spediscono qui, per cui pensavo avessero cambiato tutti i siti.

    Citazione Originariamente scritto da kirk78
    Che modelli sono i 2(3) notebook acer?
    Il primo non lo ricordo, i secondi Extensa 5220

    @ Clair
    Ringrazia da parte mia
    I due link possono farmi comodo. Per il dump dell'MBR forse c'era qualcosa sull'Hiren's CD o su UBCD, domani ricontrollo anche quello: dovrei avere anche la Backtrack, su uno dei tre troverò pure qualcosa.
    Se serve un qualche tipo di log dell'MBR per verificare l'infezione, perchè ripulirlo?

    Comunque, per la cronaca, il notebook che ho fra le mani stà funzionando apparentemente normale con Ubuntu 10.4 (dico apparentemente perchè non ho le cognizioni per effettuare verifiche approfondite)

    Dum differtur, vita transcurrit

  6. #25
    Data registrazione
    Aug 2010
    Sesso
    Uomo
    Messaggi
    341
    Grazie dati 
    41
    Grazie ricevuti 
    176
    Ringraziato in
    131 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Domani mattina rismontiamo il notebook e cerchiamo meglio, però avevamo trovato solo contatti
    sai che probabilmente hai ragione e' passato molto tempo cioe' che e' forse un bridge che devi chiudere,controlla sorry

  7. #26
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Ho ripreso il mio manuale tecnico dell'Acer Extensa 5220 e c'è esattamente quando detto da cydonia quì immagine della motherboard compresa. Quindi settare su enabled SW1 (G39) per bypassare la password e riavviare (con alimentazione di rete) con il tasto Fn+ESC premuti per montare la versione minimale della BIOS bypassando la password. Di default, come detto, è disattivato.
    Magari prova a mandarci una foto della motherboard se fosse diversa da quella del manuale.


    EDIT - certo che dalla foto del manuale non sembra un vero e proprio switch classico. Dovrebbe essere al centro di questa immagine
    Dip Switch.jpg
    Ultima modifica di Kirk78; 17-12-11 alle 11: 35. Motivo: Immagine ingrandita... spero

  8. #27
    Data registrazione
    Oct 2009
    Messaggi
    255
    Grazie dati 
    173
    Grazie ricevuti 
    259
    Ringraziato in
    141 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Citazione Originariamente scritto da LadyHawke Vedi messaggio
    Se serve un qualche tipo di log dell'MBR per verificare l'infezione, perchè ripulirlo?
    Perchè in realtà non sappiamo se si può ripulire "automaticamente" con i tool che ci sono in giro, potrebbe essere necessario dover andare a manina e senza l'hexdump non sapremmo dove intervenire.
    E poi da lì possiamo vedere cosa diavolo è sto coso, o se è già conosciuto capire che fa parte del problema.
    Per il BIOS invece temo che l'unica strada sia un qualche tipo di reset, e quella vedo che la stiamo percorrendo (è il primo esempio che vedo di rimozione cooperativa ).

    Citazione Originariamente scritto da LadyHawke Vedi messaggio
    Comunque, per la cronaca, il notebook che ho fra le mani stà funzionando apparentemente normale con Ubuntu 10.4 (dico apparentemente perchè non ho le cognizioni per effettuare verifiche approfondite)
    Forse perchè quello che agirebbe su Windows su Linux non può.


  9. #28
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,798
    Ringraziato in
    719 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Citazione Originariamente scritto da Clairvoyant Vedi messaggio
    Forse perchè quello che agirebbe su Windows su Linux non può.
    O forse perchè Linux riscrive l'MBR con il Grub quindi di fatto l'MBR corrotto viene "curato".... e se il "coso" nel Bios a quel punto non fosse più in grado di capire dove colpire quell'MBR diverso? Si interromperebbe la catena... ok, mi sa che leggo troppi fantasy...

    Dunque, io avrei un paio di hexdump di MBR eseguiti da Ubuntu, ma poichè mi sembrano piuttosto strani, non "pulitini" come quelli che vedo in giro (o magari li ho aperti con l'hex editor sbagliato), prima di renderli pubblici vorrei conferma da qualche utente Linux di aver utilizzato i comandi corretti e una procedura adeguata perchè per cause di forza maggiore ho dovuto "improvvisare":

    1° hexdump
    HDD del notebook che ho sotto cura, con installato Ubuntu, che ho dovuto spostare per fare l'hexdump sul notebook gemello che si è infettato per ultimo
    2° hexdump
    HDD del notebook che si è infettato per ultimo (quando il suo HDD è stato messo dentro a quello già infetto), che stà ancora funzionando zoppicante con Win7, collegato su porta USB (perchè altrimenti si avviava Windows e non la live di Linux)

    Comando per l'hexdump:
    Codice:
    Only registered members can view code.
    ma così non me lo salvava come file e allora ho usato
    Codice:
    Only registered members can view code.
    Ci sono comunque un paio di cose che non intendo omettere e che mi creano qualche perplessità, e in questi casi, come feci al tempo del Gromozon, credo sia utile per tutti che l'avanzamento delle operazioni sia più chiaro possibile:

    1) - Quando lessi del Mebromi, anche poco prima di aprire il thread, sono sicura al 97% che si parlava di attacco al Bios Phoenix, mentre adesso, se si va a cercare in giro si parla quasi sempre di Award: ora, si vede chiaramente che una marea di fonti sono un copiaincolla di altre quindi si potrebbe far presto a distorcere una notizia, come potrei anche essermi bevuta il cervello... fatto è che quelli in mano mia sono Bios Phoenix, e se non è Mebromi, cos'è?
    2) - Ho dato un'occhiata al codice modificato dal Mebromi nell'MBR pubblicato da fonti autorevoli e onestamente non l'ho riscontrato negli hexdump che ho fatto (sempre se sono corretti e se li ho aperti/letti nella maniera giusta), per cui mi rifaccio la domanda: se non fosse Mebromi, cos'è?


    @ kirk78
    Confermo che non ci sono switch, il G39 sono due contatti


    Dum differtur, vita transcurrit

  10. #29
    Data registrazione
    Feb 2010
    Località
    NCC1701
    Messaggi
    3,822
    Grazie dati 
    1,307
    Grazie ricevuti 
    1,323
    Ringraziato in
    996 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

    Citazione Originariamente scritto da LadyHawke
    sono sicura al 97% che si parlava di attacco al Bios Phoenix, mentre adesso, se si va a cercare in giro si parla quasi sempre di Award
    Probabilmente perché Phoenix e Award sono "quasi" la stessa cosa
    Award BIOS Software became part of Phoenix Technologies in September 1998 and the web sites have been joined to reflect the expanded range of product offerings and technology solutions.
    AwardPhoenix.jpg
    Forse è anche questo che ci da delle difficoltà di comprensione.... tanto non bastava Mebromi a romperci le scatoline
    Confermo che non ci sono switch, il G39 sono due contatti
    Quindi il termine corretto dovrebbe essere bridge e non switch..... ci sono posti per i ponticelli sul G39? Se riesci a mandarci una foto del G39 vediamo insieme a trovare come attivare SW1 come dice il manuale Acer! Capisco che si vogliono far pagare per fare un semplice ponticello, ma per me è un'assurdità!

  11. #30
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Messaggi
    17,018
    Grazie dati 
    4,804
    Grazie ricevuti 
    2,590
    Ringraziato in
    2,189 post

    Riferimento: Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro



    non me lo salvava come file
    Per ridirezionare l'output di un qualunque comando su di un file si usa

    Codice:
    Only registered members can view code.
    dopo il comando.

    Attenzione che lo crea nella directory dove si trova la console in quel momento, quindi portati con "cd" fino a dove vuoi mettere il file.
    Altra nota: non usare file esistenti, altrimenti verranno sovrascritti.

    Per la correttezza dei comandi sull'mbr invece non so dirti, dovrai aspettare qualche linuxiano più linuxiano di me.
    «Nessuna quantità di esperimenti potrà dimostrare che ho ragione;
    un unico esperimento potrà dimostrare che ho sbagliato.
    » (A. Einstein)

Tags per questo thread

Segnalibri

Regole di scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
Cookies:direttiva 2009/136/CE (E-Privacy)

Il sito utilizza cookies propri e di terze parti per maggiori informazioni faq - Termini di servizio - Cookies
Il forum non puo' funzionare senza l'uso dei cookies pertanto l'uso della community è vincolato dall'accettazione degli stessi, nel caso contrario siete pregati di lasciare la community, proseguendo la navigazione acconsenti all’uso dei cookie