Anzeige
Das PC-Bios wird von Schadsoftwareautoren angegriffen.
Das PC-Bios wird von Schadsoftwareautoren angegriffen. (Bild: Andreas Sebayang/Golem.de)

Schadsoftware

Mebromi-Trojaner greift PC-Bios an

Schadsoftware, die sich tief in einem System festsetzt, lässt sich kaum entfernen, ohne das System neu aufzusetzen. Beim Mebromi-Trojaner hilft nicht einmal der Tausch einer Festplatte.

Anzeige

Symantec hat einen Trojaner entdeckt, der sich das Bios eines Computers vornimmt, das berichtet die Firma in ihrem Blog. Der Mebromi genannte Trojaner ist in der Lage, Schadsoftware in Bios-Versionen von Award zu integrieren. Der Trojaner hat damit bereits Zugriff auf das System, bevor der Master Boot Record (MBR) geladen wird.

Um einen Rechner auf Bios-Ebene zu infizieren, ist zunächst ein Windows nötig. Wie genau es zu einer Infektion kommt, beschreibt Symantec nicht. Einmal ausgeführt, fängt der Trojaner an, einen Treiber nach %system%\drivers\bios.sys zu kopieren. Anschließend wird der Dienst beep.sys beendet und dieser mit dem abgelegten bios.sys ersetzt. Das ist dann in der Lage zu bestimmen, ob der Rechner mit einem Bios von Award betrieben wird. Ist dem so und wurde das Bios nicht schon vorher mit dem Trojaner infiziert, fängt dieser an, eine Isa-Komponente in das Bios einzusetzen.

Das infizierte Bios ist nun in der Lage, den MBR zu manipulieren und dort weitere Schadsoftware zu hinterlegen. Mit dieser werden die Dateien winlogon.exe (Windows XP und Server 2003) oder winnt.exe (Windows 2000) infiziert. Der Trojaner lädt mit Hilfe der infizierten Dateien anschließend weitere Komponenten aus dem Internet. Laut Symantec funktionierte das aber bei dem Muster, das ihnen zur Verfügung stand, nicht mehr. Mebromi ist zudem in der Lage, den modifizierten MBR vor weiteren Manipulationen, beispielsweise durch einen Virenscanner, zu schützen.

Der Trojaner funktioniert prinzipiell auch ohne Angriff auf das Bios. Zum Beispiel, wenn das Bios nicht von Award stammt. Mebromi ist dann allerdings nicht ganz so resistent gegen Gegenangriffe von Antivirussoftware. Eine MBR-Infektion selbst ist allerdings problematisch, da die Schadsoftware schon aktiv wird, bevor das Betriebssystem oder ein Virenscanner seine Arbeit aufnimmt.

Laut Symantec gibt es einen Trend hin zu MBR-Infektionen. Eine MBR-Infektion durchzuführen, soll aber deutlich schwieriger sein als herkömmliche Infektionen. Erfolgt die Infektion, wie bei Mebromi, zusätzlich mit der Bios-Komponente, dürfte der Anwender es schwer haben, den Rechner wieder in einen sauberen Zustand zu versetzen. Ein Virenscanner hat in diesem Bereich in der Regel nichts zu suchen.


eye home zur Startseite
Der Kaiser! 20. Okt 2011

Beim booten sieht man oben rechts das Logo von Award.

Der Kaiser! 20. Okt 2011

Es kommt darauf an wie gut man dafür bezahlt wird.

ThomasH 13. Sep 2011

Ab CD booten und BIOS 'drüberflashen' resp. BIOS update machen..?

ImBackAlive 13. Sep 2011

Hier: http://en.wikipedia.org/wiki/Nonvolatile_BIOS_memory Das meint er wohl, der Rest...

Maxiklin 13. Sep 2011

Also den Mac oder intel pc zeige mir mal, der kein BIOS hat :) JEDER Rechner hat sowas...

Kommentieren



Anzeige

  1. Wissenschaftliche Mitarbeiterin / Wissenschaftlicher Mitarbeiter an der Professur für Medieninformatik
    Universität Passau, Passau
  2. IT Business Intelligence Analyst (m/w)
    über Hanseatisches Personalkontor Nürnberg, Dreieck Ingostadt, München, Regensburg
  3. Leiter Softwareentwicklung (m/w)
    medavis GmbH, Karlsruhe
  4. Start up! - Fokus: IT, Technik - Mehr als ein Traineeprogramm!
    Deutsche Telekom AG, Bonn

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Statt Fernsehen

    Ministerrat will europaweite 700-MHz-Freigabe für Breitband

  2. Gran Turismo Sport

    Ein Bündnis mit der Realität

  3. Fensens Parksensor

    Einparken mit dem Smartphone

  4. Telefónica

    Microsoft und Facebook bauen 160-TBit/s-Seekabel nach Europa

  5. Elektroautos

    VW will angeblich Milliarden in Batteriefabrik investieren

  6. Ultra-HD-Blu-ray-Disc

    Sonopress kann 100-GByte-Discs produzieren

  7. Apple

    Apple TV soll zur heimischen Steuerzentrale werden

  8. Lensbaby

    Fisheye-Objektiv Circular 180+ für die Gopro

  9. Werbeversprechen

    Grüne fordern Bußgelder für langsame Internetanbieter

  10. Stratix 10 MX

    Alteras Chips nutzen HBM2 und Intels Interposer-Technik



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

  1. Re: 80 GB pro Film, netter Kopierschutz :-)

    John2k | 14:11

  2. Re: Und wieviele Milliarden ISDN-Leitungen sind das?

    plutoniumsulfat | 14:10

  3. Marea ist Microsofts dritte Investition in...

    plutoniumsulfat | 14:08

  4. Re: Liebe Redaktion

    Emulex | 14:08

  5. Re: Ist doch eh sinnlos...

    Dwalinn | 14:05


  1. 14:17

  2. 14:08

  3. 11:49

  4. 11:30

  5. 11:07

  6. 11:03

  7. 10:43

  8. 10:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel