In verschiedenen Foren habe ich gelesen: Wenn man sich einen Rootkitvirus eingefangen hat der nicht zu löschen ist, dann soll man eine Festplattenformatierung durchführen. Andere sagen es gebe Rootkits die selbst damit nicht zu löschen wären. Würde in so einem Fall es etwas nützen die Batterie aus- und wieder einzubauen damit auch alles im BIOS gelöscht ist ?? Oder wird die Festplatte beim formatieren nicht in allen Bereichen überschrieben ??
Andreas42 
Scruffy „Rootkitvirus ????“
Hi!
Ein Rootkit ist eine Software, die einen (i.d.R. versteckten" Zugang mit allen Administratorrechten auf einen Rechner installiert. (Zur Info: in Unix-System ist der User "root" der Hauptadministrator der alle Rechte hat, die man nur haben kann; er darf alles machen.)
Unter Windows hat sich eingebürgert als "RootKit" auch solche Tools zu bezeichnen, die z.B. von einer KOpierschutzsoftware installiert werden und "unsichtbar" im Hintergrund auf der ebene des Betriebssystems arbeiten. Normale Tools wie der Taskamanger sehen diese Tools nicht.
Trotzdem handelt es sich auch "nur" um eine Software (so schädlich und gefährlich sie auch sein mag), die vom Betriebssystem gestartet werden muss, damit sie aktiv wird.
Wenn ich von einem unverseuchten Medium starte und die verseuchte Platte formatiere, dann wäre auch das Rootkit weg, wenn es sich nur in der Partition eingebunden hat (und von den Startmechanismen des Betriebssystems gestartet wird).
Es wäre denkbar dass sich eine Schadsoftware in einem Bootmanager einklinkt. Früher zu DOS-Zeiten gab es dass, es handelte sich um Viren, die den Bootloadercode des MBR-Modifizierten. Heute müsste die Schadsoftware i.d.R. GRUB den Bootmanager von Linux modifizieren. Ich weiss nicht, ob es soetwas gibt; ich hab zumindest nie davon gehört - ich hör aber auch nicht alles).
Wenn man die platte komplett löschen will, dann kann das trotzdem tun: man muss ein Tool nutzen, dass ein "Low Level Format" ausführt, d.h. jeden Sektor der Platte mit Nullen füllt.
Seit es die ersten DOS-Virentools gibt, gibt es immer wieder Gerüchte von Schadsoftware, die sich im BIOS festsetzen würde. Bis auf einen Virus, der das BIOS auf einigen Mainboards gerillt hat, ist aber AFAIK nie ein solcher Virus gesichtet worden.
Das mit dem Herausnehmend er Batterie betrifft übrigens nur das CMOS-RAM, also die paar Byte batteriegepufferten Speicher, der die Grundkonfiguration des BIOS speichert. Da ist kaum Platz drin. Wieviel ist nur schwer herauszubekommen (jedenfalls brachte eine kurze Googlesuche nichts dazu zu Tage).
Wenn ich auf paperbased Information zurückgreife sind das wirklich winzige GRössen, über die wir sprechen. Im Data Backer PC-Intern-4 von Michael Tischer (erscheinen 1994) steht auf Seite 740 das das ganze 64 Byte sind (das ist kein Tippfehler, da fehlt kein "k", "m" oder sonstiger Buchstabe vor dem Byte).
Im BIOS-Kompentium wird die Belegung dieses CMOS-Puffers für 128 Bytes beschrieben.
http://www.bios-info.de/4p92x846/iscmos.htm
Ich halte es für ausgeschlossen, dass da jemand ein Rootkit unterbringt. da das CMOS-RAM auch keine Sprungadressen enthält (siehe Belegung/Kodierung im obigen Link), kann man da auch nichts starten.
OK, kurze Zusammenfassung:
- betriebssystem abhängige Schadsoftwareauch nur ein Programm speziell für dieses
Betriebssystem und muss beim Booten des Betriebssystem gestartet werden.
- man startet von einem unverseuchten Medium
- das formatieren einer Partition formatiert nicht die ganze Platte, aber es formatiert die Partition
- will ich die Platte komplett löschen, dann muss jeder Sektor mit Nullen beschrieben werden
- in den 128 Bytes des CMOS-RAMs steht kein Programmcode
- Gerüchte über Schadsoftware, die sich im BIOS einnistet gibt es seit es Viren gibt.
- Der Beste Hoax ist "Bad Times": http://www.trojaner-und-sicherheit.de/trojaner_und_viren/good_times.htm
- Soundtrack dazu: http://www.clipfish.de/video/1566475/virus-alert/
Bis dann
Andreas
