Handelsblatt

MenüZurück
Wird geladen.

12.09.2011

15:17 Uhr

Schadsoftware

Neuer Trojaner dringt bis zum Bios durch

VonAndreas Sebayang
Quelle:Golem.de

Schadsoftware, die sich tief in einem System festsetzt, lässt sich kaum entfernen, ohne das System neu aufzusetzen. Beim Mebromi-Trojaner hilft nicht einmal der Tausch einer Festplatte.

Der Mebromi-Trojaner befällt Systeme mit Microsoft Windows - und nistet sich sogar im Bios des PCs ein. gms

Der Mebromi-Trojaner befällt Systeme mit Microsoft Windows - und nistet sich sogar im Bios des PCs ein.

BerlinSymantec hat einen Trojaner entdeckt, der sich das Bios eines Computers vornimmt, berichtet die Firma in ihrem Blog. Der Mebromi genannte Trojaner ist in der Lage, Schadsoftware in Bios-Versionen von Award zu integrieren. Der Trojaner hat damit bereits Zugriff auf das System, bevor der Master Boot Record (MBR) geladen wird.

Um einen Rechner auf Bios-Ebene zu infizieren, ist zunächst ein Windows nötig. Wie genau es zu einer Infektion kommt, beschreibt Symantec nicht. Einmal ausgeführt, fängt der Trojaner an, einen Treiber nach %system%\drivers\bios.sys zu kopieren. Anschließend wird der Dienst beep.sys beendet und dieser mit dem abgelegten bios.sys ersetzt. Das ist dann in der Lage zu bestimmen, ob der Rechner mit einem Bios von Award betrieben wird. Ist dem so und wurde das Bios nicht schon vorher mit dem Trojaner infiziert, fängt dieser an, eine Isa-Komponente in das Bios einzusetzen.

Das infizierte Bios ist nun in der Lage, den MBR zu manipulieren und dort weitere Schadsoftware zu hinterlegen. Mit dieser werden die Dateien winlogon.exe (Windows XP und Server 2003) oder winnt.exe (Windows 2000) infiziert. Der Trojaner lädt mit Hilfe der infizierten Dateien anschließend weitere Komponenten aus dem Internet. Laut Symantec funktionierte das aber bei dem Muster, das ihnen zur Verfügung stand, nicht mehr. Mebromi ist zudem in der Lage, den modifizierten MBR vor weiteren Manipulationen, beispielsweise durch einen Virenscanner, zu schützen.

Der Trojaner funktioniert prinzipiell auch ohne Angriff auf das Bios. Zum Beispiel, wenn das Bios nicht von Award stammt. Mebromi ist dann allerdings nicht ganz so resistent gegen Gegenangriffe von Antivirussoftware. Eine MBR-Infektion selbst ist allerdings problematisch, da die Schadsoftware schon aktiv wird, bevor das Betriebssystem oder ein Virenscanner seine Arbeit aufnimmt.

Laut Symantec gibt es einen Trend hin zu MBR-Infektionen. Eine MBR-Infektion durchzuführen, soll aber deutlich schwieriger sein als herkömmliche Infektionen. Erfolgt die Infektion, wie bei Mebromi, zusätzlich mit der Bios-Komponente, dürfte der Anwender es schwer haben, den Rechner wieder in einen sauberen Zustand zu versetzen. Ein Virenscanner hat in diesem Bereich in der Regel nichts zu suchen.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×