c't 4/2016
S. 33
News
BIOS-Analyse

Virustotal analysiert (UEFI-)BIOS-Code

Auf der Webseite der Google-Tochterfirma Virustotal.com kann jedermann Dateien hochladen, um sie auf Viren, Trojaner und andere Malware untersuchen zu lassen. Die kostenlose Virensuche mit über 50 Scanner-Engines funktioniert nun auch bei Firmwares und BIOS-Images, die man als Dateien hochlädt, beispielsweise ein entpacktes BIOS-Update. Wie ein Blog-Beitrag (siehe c’t-Link unten) erläutert, versucht Virustotal durch eine tiefere Analyse der (UEFI-)BIOS-Images, darin verborgenen Schadcode zu erkennen, etwa Bootkits oder BIOS-Viren. Manches BIOS-Image enthält sogar ausführbare Windows-Dateien und DLLs, etwa bei Notebooks mit dem Diebstahlschutz von Absolute (früher Computrace).

Das BIOS 1602 für das Asus-Mainboard Z170-A enthält unter anderem Windows-DLLs und ein Canonical-Zertifikat.

Besonders spannend sind die Ergebnisse der erweiterten Analysefunktionen, die Virustotal nach einem Klick auf den Reiter „File detail“ präsentiert. Die einzelnen BIOS-Module zerpflückt Virustotal dazu mit dem in Python geschriebenen UEFI-Parser von Teddy Reed. Bei einem UEFI-BIOS sind viele Einzelfunktionen jeweils in ein Portable Executable im PE- oder PE32-Format verpackt. So finden sich im BIOS-Update 1602 für das Asus-Mainboard Z170-A beispielsweise UEFI-Treiber zur Ansteuerung von USB-Maus und NVMe-Bootmedien, aber auch Übertaktungs-Tools.

Interessante Hinweise liefern auch die im BIOS-Image hinterlegten kryptografischen Schlüssel im PEM-Format, die beispielsweise für UEFI Secure Boot nötig sind. Schlüssel von Microsoft und Asus sind beim erwähnten BIOS 1602 des Asus Z170-A keine Überraschung, wohl aber ein Key der Firma Canonical, vielleicht für den sicheren Start von Ubuntu Linux.

Wie für andere hochgeladene Dateien erzeugt Virustotal auch für jedes Firmware-Image einen SHA256-Hash und speichert die Ergebnisse. So lassen sich Analysen vergleichen und auch später wieder abrufen. Der erwähnte Blog-Beitrag verlinkt einige Analysen von BIOS-Updates für Notebooks von Dell, HP und Lenovo. In einem Lenovo-BIOS finden sich demnach ausführbare Windows-Dateien, die vermutlich zu unerwünscht vorinstallierter Software gehören, die sich durch die Verankerung im BIOS nicht restlos vom System entfernen lässt. (ciw@ct.de)

Alle heise-Magazine mit heise+ lesen

3,99 € / Woche

Ein Abo, alle Magazine: c't, iX, Mac & i, Make & c't Fotografie

  • Alle heise-Magazine im Browser und als PDF
  • Alle exklusiven heise+ Artikel frei zugänglich
  • heise online mit weniger Werbung lesen
  • Vorteilspreis für Magazin-Abonnenten
Jetzt unbegrenzt weiterlesen Vierwöchentliche Abrechnung.

Alle Ausgaben freischalten

2,95 € 0,25 € / Woche

Nach Testphase 2,95 € wtl.

  • Zugriff auf alle c't-Magazine
  • PDF-Ausgaben zum Herunterladen
  • Zugriff in der c't-App für unterwegs
Jetzt testen Nach Testphase jederzeit monatlich kündbar.

Ausgabe einmalig freischalten

4,50 € / Ausgabe

Diese Ausgabe lesen – ohne Abobindung

  • Sicher einkaufen im heise shop
  • Magazin direkt im Browser lesen
  • Dauerhaft als PDF behalten

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen