Trojaner im Bios

Neuer Virus infiziert Rechner per BIOS

Symantec, Hersteller von Anti-Viren Software und Sicherheitslösungen berichtet von einem neuen Trojaner, der bei Windows-PCs den Rechner über das BIOS befällt. Solche Schädlinge sind besonders gefährlich, da eher selten und schwierig zu entfernen.

Malware-Bedrohung

© Weka

Malware-Bedrohung

Zuletzt wurde ein ähnlich gefährlicher Schädling 1999 in freier Wildbahn gesichtet. Der unvergessene CIH, auch Chernobyl genannt, befiel zahllose Rechner per widerrechtlich kopierter Software rasend schnell. Er formatierte Festplatten und versuchte, das BIOS zu überschreiben.

Der jetzt gesichtete, im Blog von Symantec beschriebene Trojaner mit dem Namen Mebromi kann Schadcode in das BIOS von Award injizieren und so den Rechner noch vor dem Master Boot Record (MBR) übernehmen.

Der Treiber bios.sys, der für einen Teil der Kommunikation zwischen Windows und dem BIOS zuständig ist, wird zuerst mit einer präparierten Version ersetzt. Dann wird geprüft, ob es sich um ein Award BIOS handelt. Wenn ja, wird der BIOS-Code nach c:\bios.bin kopiert und geprüft, ob es schon infiziert ist. Das Vorhandensein des Strings hook.rom zeigt eine bereits infizierte Version. Wird dieser String nicht gefunden, wird cbrom.exe und hook.rom in das kopierte BIOS eingebracht und anschließend bios.sys wieder als original BIOS geflasht.

Damit ist die Infektion des Rechners abgeschlossen. Beim nächsten Hochfahren des Rechners verändert hook.com den MBR, nachdem das Original gesichert wurde. Von hier aus werden winlogon.exe oder winnt.exe verändert, und der Rechner ist unter Kontrolle des Trojaners.

Sollte der Virus kein Award BIOS vorfinden, versucht er trotzdem, den MBR und die beiden Windows-Dateien zu manipulieren. Sind winlogon.exe oder winnt.exe erst infiziert, laden diese weiteren Schadcode aus dem Internet zur weiteren Manipulation des Rechners.

Das Problem, solche Schädlinge zu bekämpfen, liegt in der Tatsache, dass Schadcode ausgeführt wird, lange bevor Anti-Viren Software gestartet werden kann. Sollten solche Schädlinge vermehrt auftauchen, werden die Hersteller solcher Software Routinen einbauen müssen, um solche Bedrohungen bekämpfen zu können.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…