Im Thema muhstik decryption keys und einigen Anderen wird immer empfohlen, bei einem Malware-Befall ein DOM-Recovery durchzuführen. Ich habe die Sinnhaftigkeit dieser Empfehlung angezweifelt und wurde gefragt:
Hi dr_mike , bist Du der Meinung, dass das komplett unnötig ist?
Ja, bin ich. Welche Bereiche gibt es denn auf dem DOM?!
1. wäre da der Bootloader (Uboot oder ein ARM-spezifischer)
2. die Configurationspartition
3. das Kernelimage
4. das 1. Rootfilesystem
5. das 2. Rootfilesystem
6. bei den grösseren NAS mit DOM und einigen anderen das Image für das Webinterface
(die Reihenfolge enspricht nicht den Partitionsnummern)
a- Die Bereiche 3 - 6 werden bei jedem FW-Update komplett überschrieben genauso wie bei einem Recovery
b- Der Bootloader wird nur bei einem Recovery überschrieben nie jedoch bei einem FW-Update
c- Die Config-Part wird in beiden Fällen nicht angefasst und ist diejenige wo meist von Malware eine autorun.sh angelegt wird.
Was bedeutet das?
zu a: Wenn 3 - 6 von Malware modifiziert werden würde, reicht ein FW-Update.
zu b: Um einen Bootloader für das NAS zu kompilieren bräuchte man die kompletten Interna der NAS-Firmware (Hardwareadressen, Hardwareinit Routinen, das ganze Board-Support-Package, welches ClosedSource ist etc.) Die Gefahr, dass das NAS unbrauchbar wird wäre zu gross. Daher ist davon auszugehen, dass dort nichts manipuliert wird
zu c: hier liegt das größte Risiko wieder/weiter infiziert zu werden/sein. Jedoch wird eben bei FW-Update und Recovery nichts geändert. Hier hilft entweder cleanme oder man geht nach der Anleitung zur Erstellung einer autorun.sh auf diese Partition und löscht alles dort drin, was suspekt ist.
Dieser Schritt ist in jedem Fall ein Muss!
Fazit: Ein FW-Update ist in Verbindung mit cleanme weitgehend ausreichend um ein System sauber zu bekommen, wenn man neue Platten verwendet. Alles was auf den ursprünglichen Platten ist kann natürlich infiziert sein.
Das Recovery bringt jedoch keinen Mehrwert.
Garantie kann ich aber nicht geben und auch kein anderer genausowenig wie QNAP. Dazu müsste man Programmierer der jeweiligen Malware sein.