Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Neuer Virus infiziert Rechner per BIOS

Trojaner im Bios

Neuer Virus infiziert Rechner per BIOS

13. September 2011, 16:15 Uhr |

Symantec berichtet von einem neuen Trojaner, der bei Windows-PCs den Rechner über das BIOS befällt. Solche Schädlinge sind besonders gefährlich, da sie selten und schwierig zu entfernen sind.

Zuletzt wurde ein ähnlich gefährlicher Schädling 1999 in freier Wildbahn gesichtet. Der unvergessene CIH, auch Chernobyl genannt, befiel zahllose Rechner per widerrechtlich kopierter Software rasend schnell. Er formatierte Festplatten und versuchte, das BIOS zu überschreiben.

Der jetzt gesichtete, im Blog von Symantec beschriebene Trojaner mit dem Namen Mebromi kann Schadcode in das BIOS von Award injizieren und so den Rechner noch vor dem Master Boot Record (MBR) übernehmen.

Der Treiber bios.sys, der für einen Teil der Kommunikation zwischen Windows und dem BIOS zuständig ist, wird zuerst mit einer präparierten Version ersetzt. Dann wird geprüft, ob es sich um ein Award BIOS handelt. Wenn ja, wird der BIOS-Code nach c:\bios.bin kopiert und geprüft, ob es schon infiziert ist. Das Vorhandensein des Strings hook.rom zeigt eine bereits infizierte Version. Wird dieser String nicht gefunden, wird cbrom.exe und hook.rom in das kopierte BIOS eingebracht und anschließend bios.sys wieder als original BIOS geflasht.

Damit ist die Infektion des Rechners abgeschlossen. Beim nächsten Hochfahren des Rechners verändert hook.com den MBR, nachdem das Original gesichert wurde. Von hier aus werden winlogon.exe oder winnt.exe verändert, und der Rechner ist unter Kontrolle des Trojaners.

Sollte der Virus kein Award BIOS vorfinden, versucht er trotzdem, den MBR und die beiden Windows-Dateien zu manipulieren. Sind winlogon.exe oder winnt.exe erst infiziert, laden diese weiteren Schadcode aus dem Internet zur weiteren Manipulation des Rechners.

Das Problem, solche Schädlinge zu bekämpfen, liegt in der Tatsache, dass Schadcode ausgeführt wird, lange bevor Anti-Viren Software gestartet werden kann. Sollten solche Schädlinge vermehrt auftauchen, werden die Hersteller solcher Software Routinen einbauen müssen, um solche Bedrohungen bekämpfen zu können.

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
KONZEPTUM GmbH

KONZEPTUM GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Zyxel Networks A/S

Zyxel Networks A/S
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
nexspace data centers GmbH

nexspace data centers GmbH