Abo
  • Services:
Anzeige
Das PC-Bios wird von Schadsoftwareautoren angegriffen.
Das PC-Bios wird von Schadsoftwareautoren angegriffen. (Bild: Andreas Sebayang/Golem.de)

Schadsoftware

Mebromi-Trojaner greift PC-Bios an

Das PC-Bios wird von Schadsoftwareautoren angegriffen.
Das PC-Bios wird von Schadsoftwareautoren angegriffen. (Bild: Andreas Sebayang/Golem.de)

Schadsoftware, die sich tief in einem System festsetzt, lässt sich kaum entfernen, ohne das System neu aufzusetzen. Beim Mebromi-Trojaner hilft nicht einmal der Tausch einer Festplatte.

Symantec hat einen Trojaner entdeckt, der sich das Bios eines Computers vornimmt, das berichtet die Firma in ihrem Blog. Der Mebromi genannte Trojaner ist in der Lage, Schadsoftware in Bios-Versionen von Award zu integrieren. Der Trojaner hat damit bereits Zugriff auf das System, bevor der Master Boot Record (MBR) geladen wird.

Anzeige

Um einen Rechner auf Bios-Ebene zu infizieren, ist zunächst ein Windows nötig. Wie genau es zu einer Infektion kommt, beschreibt Symantec nicht. Einmal ausgeführt, fängt der Trojaner an, einen Treiber nach %system%\drivers\bios.sys zu kopieren. Anschließend wird der Dienst beep.sys beendet und dieser mit dem abgelegten bios.sys ersetzt. Das ist dann in der Lage zu bestimmen, ob der Rechner mit einem Bios von Award betrieben wird. Ist dem so und wurde das Bios nicht schon vorher mit dem Trojaner infiziert, fängt dieser an, eine Isa-Komponente in das Bios einzusetzen.

Das infizierte Bios ist nun in der Lage, den MBR zu manipulieren und dort weitere Schadsoftware zu hinterlegen. Mit dieser werden die Dateien winlogon.exe (Windows XP und Server 2003) oder winnt.exe (Windows 2000) infiziert. Der Trojaner lädt mit Hilfe der infizierten Dateien anschließend weitere Komponenten aus dem Internet. Laut Symantec funktionierte das aber bei dem Muster, das ihnen zur Verfügung stand, nicht mehr. Mebromi ist zudem in der Lage, den modifizierten MBR vor weiteren Manipulationen, beispielsweise durch einen Virenscanner, zu schützen.

Der Trojaner funktioniert prinzipiell auch ohne Angriff auf das Bios. Zum Beispiel, wenn das Bios nicht von Award stammt. Mebromi ist dann allerdings nicht ganz so resistent gegen Gegenangriffe von Antivirussoftware. Eine MBR-Infektion selbst ist allerdings problematisch, da die Schadsoftware schon aktiv wird, bevor das Betriebssystem oder ein Virenscanner seine Arbeit aufnimmt.

Laut Symantec gibt es einen Trend hin zu MBR-Infektionen. Eine MBR-Infektion durchzuführen, soll aber deutlich schwieriger sein als herkömmliche Infektionen. Erfolgt die Infektion, wie bei Mebromi, zusätzlich mit der Bios-Komponente, dürfte der Anwender es schwer haben, den Rechner wieder in einen sauberen Zustand zu versetzen. Ein Virenscanner hat in diesem Bereich in der Regel nichts zu suchen.


eye home zur Startseite
Der Kaiser! 20. Okt 2011

Beim booten sieht man oben rechts das Logo von Award.

Der Kaiser! 20. Okt 2011

Es kommt darauf an wie gut man dafür bezahlt wird.

ThomasH 13. Sep 2011

Ab CD booten und BIOS 'drüberflashen' resp. BIOS update machen..?

ImBackAlive 13. Sep 2011

Hier: http://en.wikipedia.org/wiki/Nonvolatile_BIOS_memory Das meint er wohl, der Rest...

Maxiklin 13. Sep 2011

Also den Mac oder intel pc zeige mir mal, der kein BIOS hat :) JEDER Rechner hat sowas...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Böblingen
  2. Leopold Kostal GmbH & Co. KG, Lüdenscheid
  3. Basler AG, Ahrensburg bei Hamburg
  4. Bosch Sensortec GmbH, Reutlingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 61,99€
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. BeA

    Soldan will Anwälten das Internet ausdrucken

  2. Videospeicher

    Samsung liefert GDDR6 mit doppelter Kapazität

  3. Baywatch

    Drohne rettet zwei Schwimmer

  4. Flugzeuge

    Norwegen will Kurzstreckenflüge bis 2040 elektrifizieren

  5. Kabelnetz

    Vodafone setzt bereits Docsis 3.1 beim Endkunden ein

  6. Neuer Standort

    Amazon sucht das zweite Hauptquartier

  7. Matt Booty

    Mr. Minecraft wird neuer Spiele-Chef bei Microsoft

  8. Gerichtsurteil

    Internet- und Fernsehkunden müssen bei Umzug weiterzahlen

  9. Sicherheitsupdate

    Microsoft-Compiler baut Schutz gegen Spectre

  10. Facebook Messenger

    Bug lässt iPhone-Nutzer nur wenige Wörter tippen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Loki App zeigt Inhalte je nach Stimmung des Nutzers an
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

  1. Re: Da ist die EU!

    CopyUndPaste | 08:33

  2. Darf der Operator das Gerät sonst nie nutzen?

    DooMMasteR | 08:31

  3. Re: Ein Alexa Gesetz also?

    piffpaff | 08:30

  4. Re: Nicht Jahre warten, sondern AMD kaufen.

    Der Held vom... | 08:28

  5. Re: Als einziger Hersteller von Smartphones hat...

    deus-ex | 08:26


  1. 08:52

  2. 07:49

  3. 07:35

  4. 07:18

  5. 19:09

  6. 16:57

  7. 16:48

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel