Abo
  • Services:

Schadsoftware

Mebromi-Trojaner greift PC-Bios an

Schadsoftware, die sich tief in einem System festsetzt, lässt sich kaum entfernen, ohne das System neu aufzusetzen. Beim Mebromi-Trojaner hilft nicht einmal der Tausch einer Festplatte.

Artikel veröffentlicht am ,
Das PC-Bios wird von Schadsoftwareautoren angegriffen.
Das PC-Bios wird von Schadsoftwareautoren angegriffen. (Bild: Andreas Sebayang/Golem.de)

Symantec hat einen Trojaner entdeckt, der sich das Bios eines Computers vornimmt, das berichtet die Firma in ihrem Blog. Der Mebromi genannte Trojaner ist in der Lage, Schadsoftware in Bios-Versionen von Award zu integrieren. Der Trojaner hat damit bereits Zugriff auf das System, bevor der Master Boot Record (MBR) geladen wird.

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  2. D. Kremer Consulting, Meerbusch

Um einen Rechner auf Bios-Ebene zu infizieren, ist zunächst ein Windows nötig. Wie genau es zu einer Infektion kommt, beschreibt Symantec nicht. Einmal ausgeführt, fängt der Trojaner an, einen Treiber nach %system%\drivers\bios.sys zu kopieren. Anschließend wird der Dienst beep.sys beendet und dieser mit dem abgelegten bios.sys ersetzt. Das ist dann in der Lage zu bestimmen, ob der Rechner mit einem Bios von Award betrieben wird. Ist dem so und wurde das Bios nicht schon vorher mit dem Trojaner infiziert, fängt dieser an, eine Isa-Komponente in das Bios einzusetzen.

Das infizierte Bios ist nun in der Lage, den MBR zu manipulieren und dort weitere Schadsoftware zu hinterlegen. Mit dieser werden die Dateien winlogon.exe (Windows XP und Server 2003) oder winnt.exe (Windows 2000) infiziert. Der Trojaner lädt mit Hilfe der infizierten Dateien anschließend weitere Komponenten aus dem Internet. Laut Symantec funktionierte das aber bei dem Muster, das ihnen zur Verfügung stand, nicht mehr. Mebromi ist zudem in der Lage, den modifizierten MBR vor weiteren Manipulationen, beispielsweise durch einen Virenscanner, zu schützen.

Der Trojaner funktioniert prinzipiell auch ohne Angriff auf das Bios. Zum Beispiel, wenn das Bios nicht von Award stammt. Mebromi ist dann allerdings nicht ganz so resistent gegen Gegenangriffe von Antivirussoftware. Eine MBR-Infektion selbst ist allerdings problematisch, da die Schadsoftware schon aktiv wird, bevor das Betriebssystem oder ein Virenscanner seine Arbeit aufnimmt.

Laut Symantec gibt es einen Trend hin zu MBR-Infektionen. Eine MBR-Infektion durchzuführen, soll aber deutlich schwieriger sein als herkömmliche Infektionen. Erfolgt die Infektion, wie bei Mebromi, zusätzlich mit der Bios-Komponente, dürfte der Anwender es schwer haben, den Rechner wieder in einen sauberen Zustand zu versetzen. Ein Virenscanner hat in diesem Bereich in der Regel nichts zu suchen.



Anzeige
Spiele-Angebote
  1. (-44%) 11,11€
  2. 4,99€

Der Kaiser! 20. Okt 2011

Beim booten sieht man oben rechts das Logo von Award.

Der Kaiser! 20. Okt 2011

Es kommt darauf an wie gut man dafür bezahlt wird.

ThomasH 13. Sep 2011

Ab CD booten und BIOS 'drüberflashen' resp. BIOS update machen..?

ImBackAlive 13. Sep 2011

Hier: http://en.wikipedia.org/wiki/Nonvolatile_BIOS_memory Das meint er wohl, der Rest...

Maxiklin 13. Sep 2011

Also den Mac oder intel pc zeige mir mal, der kein BIOS hat :) JEDER Rechner hat sowas...


Folgen Sie uns
       


HMD zeigt das Nokia 210 (MWC 2019)

Das Nokia 210 ist ein 2,5G Featurephone.

HMD zeigt das Nokia 210 (MWC 2019) Video aufrufen
Security: Vernetzte Autos sicher machen
Security
Vernetzte Autos sicher machen

Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
Ein Bericht von Dirk Kunde

  1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
  2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
  3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

Microsoft: Die ganz normale, lautlose Cloud-Apokalypse
Microsoft
Die ganz normale, lautlose Cloud-Apokalypse

Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
Von Sebastian Grüner

  1. Services Gemeinsames Accenture Microsoft Business arbeitet bereits
  2. Business Accenture und Microsoft gründen gemeinsame Service-Sparte
  3. AWS, Azure, Alibaba, IBM Cloud Wo die Cloud hilft - und wo nicht

    •  /