Abo
  • Services:

Schadsoftware

Mebromi-Trojaner greift PC-Bios an

Schadsoftware, die sich tief in einem System festsetzt, lässt sich kaum entfernen, ohne das System neu aufzusetzen. Beim Mebromi-Trojaner hilft nicht einmal der Tausch einer Festplatte.

Artikel veröffentlicht am ,
Das PC-Bios wird von Schadsoftwareautoren angegriffen.
Das PC-Bios wird von Schadsoftwareautoren angegriffen. (Bild: Andreas Sebayang/Golem.de)

Symantec hat einen Trojaner entdeckt, der sich das Bios eines Computers vornimmt, das berichtet die Firma in ihrem Blog. Der Mebromi genannte Trojaner ist in der Lage, Schadsoftware in Bios-Versionen von Award zu integrieren. Der Trojaner hat damit bereits Zugriff auf das System, bevor der Master Boot Record (MBR) geladen wird.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Um einen Rechner auf Bios-Ebene zu infizieren, ist zunächst ein Windows nötig. Wie genau es zu einer Infektion kommt, beschreibt Symantec nicht. Einmal ausgeführt, fängt der Trojaner an, einen Treiber nach %system%\drivers\bios.sys zu kopieren. Anschließend wird der Dienst beep.sys beendet und dieser mit dem abgelegten bios.sys ersetzt. Das ist dann in der Lage zu bestimmen, ob der Rechner mit einem Bios von Award betrieben wird. Ist dem so und wurde das Bios nicht schon vorher mit dem Trojaner infiziert, fängt dieser an, eine Isa-Komponente in das Bios einzusetzen.

Das infizierte Bios ist nun in der Lage, den MBR zu manipulieren und dort weitere Schadsoftware zu hinterlegen. Mit dieser werden die Dateien winlogon.exe (Windows XP und Server 2003) oder winnt.exe (Windows 2000) infiziert. Der Trojaner lädt mit Hilfe der infizierten Dateien anschließend weitere Komponenten aus dem Internet. Laut Symantec funktionierte das aber bei dem Muster, das ihnen zur Verfügung stand, nicht mehr. Mebromi ist zudem in der Lage, den modifizierten MBR vor weiteren Manipulationen, beispielsweise durch einen Virenscanner, zu schützen.

Der Trojaner funktioniert prinzipiell auch ohne Angriff auf das Bios. Zum Beispiel, wenn das Bios nicht von Award stammt. Mebromi ist dann allerdings nicht ganz so resistent gegen Gegenangriffe von Antivirussoftware. Eine MBR-Infektion selbst ist allerdings problematisch, da die Schadsoftware schon aktiv wird, bevor das Betriebssystem oder ein Virenscanner seine Arbeit aufnimmt.

Laut Symantec gibt es einen Trend hin zu MBR-Infektionen. Eine MBR-Infektion durchzuführen, soll aber deutlich schwieriger sein als herkömmliche Infektionen. Erfolgt die Infektion, wie bei Mebromi, zusätzlich mit der Bios-Komponente, dürfte der Anwender es schwer haben, den Rechner wieder in einen sauberen Zustand zu versetzen. Ein Virenscanner hat in diesem Bereich in der Regel nichts zu suchen.



Anzeige
Top-Angebote
  1. (aktuell u. a. Corsair Gaming M65 Pro RGB als neuwertiger Outlet-Artikel für 29,99€ + Versand...
  2. (nur für Prime-Mitglieder)
  3. (u. a. HP 27xq WQHD-Monitor mit 144 Hz für 285€ + Versand - Bestpreis!)
  4. 288€

Der Kaiser! 20. Okt 2011

Beim booten sieht man oben rechts das Logo von Award.

Der Kaiser! 20. Okt 2011

Es kommt darauf an wie gut man dafür bezahlt wird.

ThomasH 13. Sep 2011

Ab CD booten und BIOS 'drüberflashen' resp. BIOS update machen..?

ImBackAlive 13. Sep 2011

Hier: http://en.wikipedia.org/wiki/Nonvolatile_BIOS_memory Das meint er wohl, der Rest...

Maxiklin 13. Sep 2011

Also den Mac oder intel pc zeige mir mal, der kein BIOS hat :) JEDER Rechner hat sowas...


Folgen Sie uns
       


Bright Memory Episode 1 - 10 Minuten Gameplay

Wir zeigen die ersten 10 Minuten von Bright Memory, dem actionreichen Indie-Ego-Shooter mit spektakulären Schwertkampf-Einlagen.

Bright Memory Episode 1 - 10 Minuten Gameplay Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Slighter im Hands on Wenn das Feuerzeug smarter als der Raucher ist
  2. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant
  3. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion

    •  /