Abo
  • Services:

Schadsoftware

Mebromi-Trojaner greift PC-Bios an

Schadsoftware, die sich tief in einem System festsetzt, lässt sich kaum entfernen, ohne das System neu aufzusetzen. Beim Mebromi-Trojaner hilft nicht einmal der Tausch einer Festplatte.

Artikel veröffentlicht am ,
Das PC-Bios wird von Schadsoftwareautoren angegriffen.
Das PC-Bios wird von Schadsoftwareautoren angegriffen. (Bild: Andreas Sebayang/Golem.de)

Symantec hat einen Trojaner entdeckt, der sich das Bios eines Computers vornimmt, das berichtet die Firma in ihrem Blog. Der Mebromi genannte Trojaner ist in der Lage, Schadsoftware in Bios-Versionen von Award zu integrieren. Der Trojaner hat damit bereits Zugriff auf das System, bevor der Master Boot Record (MBR) geladen wird.

Stellenmarkt
  1. ivv GmbH, Hannover
  2. Dataport, verschiedene Einsatzorte (Home-Office möglich)

Um einen Rechner auf Bios-Ebene zu infizieren, ist zunächst ein Windows nötig. Wie genau es zu einer Infektion kommt, beschreibt Symantec nicht. Einmal ausgeführt, fängt der Trojaner an, einen Treiber nach %system%\drivers\bios.sys zu kopieren. Anschließend wird der Dienst beep.sys beendet und dieser mit dem abgelegten bios.sys ersetzt. Das ist dann in der Lage zu bestimmen, ob der Rechner mit einem Bios von Award betrieben wird. Ist dem so und wurde das Bios nicht schon vorher mit dem Trojaner infiziert, fängt dieser an, eine Isa-Komponente in das Bios einzusetzen.

Das infizierte Bios ist nun in der Lage, den MBR zu manipulieren und dort weitere Schadsoftware zu hinterlegen. Mit dieser werden die Dateien winlogon.exe (Windows XP und Server 2003) oder winnt.exe (Windows 2000) infiziert. Der Trojaner lädt mit Hilfe der infizierten Dateien anschließend weitere Komponenten aus dem Internet. Laut Symantec funktionierte das aber bei dem Muster, das ihnen zur Verfügung stand, nicht mehr. Mebromi ist zudem in der Lage, den modifizierten MBR vor weiteren Manipulationen, beispielsweise durch einen Virenscanner, zu schützen.

Der Trojaner funktioniert prinzipiell auch ohne Angriff auf das Bios. Zum Beispiel, wenn das Bios nicht von Award stammt. Mebromi ist dann allerdings nicht ganz so resistent gegen Gegenangriffe von Antivirussoftware. Eine MBR-Infektion selbst ist allerdings problematisch, da die Schadsoftware schon aktiv wird, bevor das Betriebssystem oder ein Virenscanner seine Arbeit aufnimmt.

Laut Symantec gibt es einen Trend hin zu MBR-Infektionen. Eine MBR-Infektion durchzuführen, soll aber deutlich schwieriger sein als herkömmliche Infektionen. Erfolgt die Infektion, wie bei Mebromi, zusätzlich mit der Bios-Komponente, dürfte der Anwender es schwer haben, den Rechner wieder in einen sauberen Zustand zu versetzen. Ein Virenscanner hat in diesem Bereich in der Regel nichts zu suchen.



Anzeige
Blu-ray-Angebote

Der Kaiser! 20. Okt 2011

Beim booten sieht man oben rechts das Logo von Award.

Der Kaiser! 20. Okt 2011

Es kommt darauf an wie gut man dafür bezahlt wird.

ThomasH 13. Sep 2011

Ab CD booten und BIOS 'drüberflashen' resp. BIOS update machen..?

ImBackAlive 13. Sep 2011

Hier: http://en.wikipedia.org/wiki/Nonvolatile_BIOS_memory Das meint er wohl, der Rest...

Maxiklin 13. Sep 2011

Also den Mac oder intel pc zeige mir mal, der kein BIOS hat :) JEDER Rechner hat sowas...


Folgen Sie uns
       


Red Dead Redemption 2 - Test

Das Spiel des Jahres - in punkto Hype - kommt 2018 von den GTA-Machern Rockstar. Im Test sortieren wir es im Genre ein.

Red Dead Redemption 2 - Test Video aufrufen
Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

Serverless Computing: Mehr Zeit für den Code
Serverless Computing
Mehr Zeit für den Code

Weniger Verwaltungsaufwand und mehr Automatisierung: Viele Entwickler bauen auf fertige Komponenten aus der Cloud, um die eigenen Anwendungen aufzubauen. Beim Serverless Computing verschwinden die benötigten Server unter einer dicken Abstraktionsschicht, was mehr Zeit für den eigenen Code lässt.
Von Valentin Höbel

  1. Kubernetes Cloud Discovery inventarisiert vergessene Cloud-Native-Apps
  2. T-Systems Deutsche Telekom will Cloud-Firmen kaufen
  3. Trotz hoher Gewinne Wieder Stellenabbau bei Microsoft

Coachingbuch: Metapher mit Mängeln
Coachingbuch
Metapher mit Mängeln

Der Persönlichkeitscoach Thomas Hohensee plädiert in seinem neuen Buch dafür, problematische Kindheitsmuster zu behandeln wie schadhafte Programme auf einem Rechner: mit Reset, Updates und Neustart. Ein origineller Ansatz - aber hält er dem Thema stand?
Von Cornelia Birr

  1. Elektronisch Arzneimittelrezept kommt auf Smartphone
  2. Relayr Rückstandsglaube als Startup-Vorteil
  3. Liberty Global Ericsson übernimmt Netzwerkbetrieb bei Unitymedia

    •  /