Einen Schädling, der sich ins BIOS des Rechners einnistet, hat der chinesische AV-Hersteller 360 entdeckt. Dort ist er vor dem Zugriff herkömmlicher Virenscanner sicher. Zu Beginn der Infektion prüft der Mebromi genannte Schädling, ob der Rechner des Opfers ein Award-BIOS nutzt. Wenn das der Fall ist, führt er das Kommandozeilentool CBROM aus, um seine Erweiterung in das BIOS einzuklinken. Beim nächsten Systemstart platziert er im Master-Boot-Record (MBR) der Festplatte weiteren Code, der vor dem Windows-Boot die Prozesse winlogon.exe und winnt.exe von Windows XP und 2003 respektive Windows 2000 infiziert.

Der Schädling lädt nach dem Windows-Start ein Rootkit aus dem Netz nach, das verhindern soll, dass der MBR der Platte von einem Virenscanner bereinigt wird. Sollte dies doch einmal gelingen, wird beim nächsten Start die Infektionsroutine vom BIOS-Modul wiederholt. Mebromi überlebt auch einen Festplattentausch mühelos. Sollte auf dem Rechner kein Award-BIOS genutzt werden, begnügt sich der Schädling mit der Infektion des MBR.

Eine Schadroutine im BIOS zu verankern ist nicht neu. Der CIH-Virus hat bereits 1999 versucht, das BIOS seines Wirts zu manipulieren. Dies hatte allerdings zur Folge, dass das BIOS überschrieben wurde und der Rechner nicht mehr startete. Sicherheitsforscher stellten 2009 ein Szenario vor, ein Rootkit im BIOS zu verankern. Jedoch ist bisher keinem BIOS-Schädling der Durchbruch gelungen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE