Acer-e5-575g mit computrace Lojack / lojax Backdoor replica

hier

https://www.virustotal.com/gui/file/9878539b7e5591de17508cf0ac440ec894c91a230346f5620cc892c043bb5ad4/detection

 

Bios.Rom auf virustotal link  hab es unterm laufendem OS mal gedumped morgen Check ich vlt. den rest mit extract von uefitool oder binwalk und extract mir aus dem dump mehr.
mit einen updates des bios von der acer wesite, welche nur exe mit updates haben.

In diesem von insydeimage sind mehrere EFI ROM wenn man die rasuholt aus dere exe. Aber zum drüber  Flashen weiss ich nicht bis jetzt welchs aber das größte problem  ist wohl dass derflashromes nicht erkennt  ( ist bis jetzt nur bei asus motherboards bzw intel hab ich auch 2 kleine  intel boards wo flashrom benützt werden konnte und ich die dazugehöigen ROM/DUMPS habe  )! wie cool ist das 🙂 also ich mein damit dass ich den endlich im Uefitool ersichtlich habe.

Leider ist er im Tuxedo InfinitybookPro 13 nicht im dump ersichtlich dafür in allen OS  im Windows ist er zwar zu sehen wie auf dem acer im windows wo  er nicht als Virus von den Antiviren erkennt wird.hier wie sie den tuxedo abgefangen haben habe ein neues board bekommen.
https://raimond.at/dhl-shippment-00340433939002053879-intercepted-infected-by-murder-of-dad-with-bios-rpc-lojack-replica/

Hab wohl diverse sub varianten des computrace efi backdoor. Den ersten hatte ich schon 2013 auf dem MacBookPro 13.

Davor warscheinlich auch schon. Da ist es mir nur nicht aufgefallen.
auf jedenfall verändert sich der Trojaner die ich alle im EFI / BIOS hab seit 2013 bis jetzt.

Im windows war es der rpcSs bzw RpcEPtMapper  Dienst der sich nicht deaktivieren hat lassen da ist er immer der gleiche

aber im debian und centos lauscht das ding  nicht mehr wie früher ersichtlich auf dem port 111  mit eine rpc process der auf init 1 ist .
siehe https://raimond.at/computrace-bios-efi-trojaner-erkennen/
jetzt seh ich ihn nicht mehr mit dem port 111  bemerken tu  ich es wenn er kurz einfriert der Rechner.
also nicht so leicht wenn man bedenkt dass man eigentlich immer wieder zuhause infiziert wird obwohl  da ein EVVA Magnet Schloss verbaut ist und da keiner kommt bzw die haben sich illegaler weise einen Schlüssel nachmachen lassen und das so verhägelt dass wenn ich da nach frage die Antwort bekomme das es nicht mehr Schlüssel gibt und so können dann immer wieder mein laptop infeszieren bzw sie fangen den DHL versand ab und das schon in Frankfurt am Main oder am weg hierher wenn ich etwas im Internet kaufe.
Den fujiztsu server der  ist auch infiziert da hab ich ncih kein dump erstellt aber hey jetzt kann ich langsam wieder alle aufstellen meine computer und eine kollektion präsentieren die sich über  jahre schon um einiges vergrößert hat.
da soll noch einer sagen dass die nicht meinen Vater ermordet haben und michm nicht ständig  da wo ich bin beobachten als ob ich aus purem Gold wäre und das von allen seiten oben unten  rechts und links.

Der backdoor läuft auf allen systemen. Ob windows, centos, debian, redhat, ubuntu und jetzt auch auf live usb images von kali.
das war früher nicht so aber jetzt ist er auf einen Kali auch nicht mehr sicher gegen ihn.
Es war kurz mal das eine kali installation nicht betroffen war  aber da war nur 2-3 Monate.
https://raimond.at/computrace-bios-efi-trojaner-erkennen/

 

computrace lojack
https://thinkwiki.de/Computrace

https://www.heise.de/newsticker/meldung/Computrace-fuer-Notebooks-Anti-Diebstahl-Tool-verunsichert-Nutzer-2516155.html

uefitool von Longsoft
https://github.com/LongSoft/UEFITool

Related posts