Die Rückkehr des BIOS-Trojaners

Der chinesische AV-Hersteller 360 hat einen Schädling in freier Wildbahn entdeckt, der sich ins BIOS des Rechners einnistet. Dort entzieht er sich dem Zugriff herkömmlicher Virenscanner. Der Mebromi genannte Schädling prüft zu Beginn der Infektion, ob der Rechner des Opfers ein Award-BIOS nutzt. Ist das der Fall, führt er das Kommandozeilentool CBROM aus, um seine Erweiterung in das BIOS einzuklinken. Beim nächsten Systemstart platziert die BIOS-Erweiterung im Master-Boot-Record (MBR) der Festplatte weiteren Code, der vor dem Windows-Boot die Prozesse winlogon.exe und winnt.exe von Windows XP und 2003 respektive Windows 2000 infiziert.

Nach dem Windows-Start lädt der Schadcode ein Rootkit aus dem Netz nach, das verhindern soll, dass der MBR der Platte von einem Virenscanner bereinigt wird. Sollte dies doch einmal gelingen, wird die Infektionsroutine beim nächsten Start vom BIOS-Modul wiederholt. Auch einen Festplattentausch überlebt Mebromi mühelos. Falls auf dem Rechner kein Award-BIOS zum Einsatz kommt, begnügt sich der Schädling mit der Infektion des MBR.

Die Idee, eine Schadroutine im BIOS zu verankern ist nicht neu; kann sich der Schädling hier doch ungeachtet des Virenscanners austoben. Bereits 1999 hat der CIH-Virus versucht, das BIOS seines Wirts zu manipulieren. Allerdings hatte dies rein destruktive Auswirkungen, das BIOS wurde überschrieben und der Rechner startete anschließend nicht mehr. 2009 stellten Sicherheitsforscher ein Szenario vor, ein Rootkit im BIOS zu verankern. Bisher ist jedoch keinem BIOS-Schädling der Durchbruch gelungen. Vermutlich, weil es einfach zu viele unterschiedliche Mainboards gibt – und somit auch unterschiedliche Wege, das BIOS zu flashen. (rei)