13.09.2011
Sicherheit
Trojaner infiziert BIOS - Gefahr für Windows
Autor: Thorsten Eggeling
Symantec hat einen äußerst gefährlichen Trojaner entdeckt, der sich auch nur schwer beseitigen lässt. Der Trojaner Mebromi kann Schadsoftware in das BIOS einzuschleusen und sich dann weiteren Zugriff auf den MBR und das System verschaffen.
Die Firma Symantec meldet in ihrem Blog die Entdeckung eines neuen Trojaners. Er hat den Namen Mebromi bekommen und kann Schadsoftware in BIOS-Versionen von Award einschleusen. Damit ist es dem Trojaner möglich, Zugriff auf das System zu erlangen, schon bevor der Master Boot Record (MBR) geladen ist. Windows ist aber die Voraussetzung für die Infizierung auf der BIOS-Ebene.
Der Trojaner kopiert zunächst einen Treiber nach %system%\drivers\bios.sys und beendet danach den Dienst beep.sys. Dieser wird dann durch den Inhalt der Datei bios.sys ersetzt und neu gestartet. Dann stellt der Schadcode fest, ob der Rechner mit einem BIOS von Award betrieben wird. Wenn das so ist, fügt Mebromi Schadcode als eigene Erweiterung in das BIOS ein. Ist das BIOS infiziert, manipuliert es den MBR und hinterlegt dort weitere Schadsoftware. Diese infizieren dann die Dateien winlogon.exe (Windows XP und Server 2003) oder winnt.exe (Windows 2000). Danach lädt er weitere Komponenten aus dem Internet nach.
Mebromi ist bisher nur schwer zu entfernen, da die Infektion bereits vor dem Windows-Start wirksam wird - also bevor ein Virenscanner läuft.
Mebromi kann auch ohne Award-BIOS seine Wirkung teilweise entfalten. Dann aber ist Mebromi durch Antivirussoftware leicht zu entdecken. Eine MBR-Infektion ist für den Trojaner dann deutlich schwieriger durchzuführen oder sogar unmöglich. Wenn dagegen das BIOS infiziert ist, wird es für Anwender schwierig, ihre Rechner wieder zu reinigen. Virenscanner haben auf den Programmcode im BIOS normalerweise keinen Zugriff. Die Hersteller von Antiviren-Software könnten entsprechende Programmfunktionen jedoch in ihre Produkte einbauen oder spezielle Tools dafür zur Verfügung stellen.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Visual Display
Samsung bringt The Frame auf die Art Basel in Basel
Die Basler Ausgabe der Art Basel erhält Besuch von Samsung. Der Samsung-Fernseher "The Frame" wird als offizielles Visual Display der Messe zum Einsatz kommen.
>>
Letzte Hürde genommen
USB-C kommt als einheitlicher Ladestandard
Nach dem Bundestag hat auch der Bundesrat einer EU-Richtlinie zugestimmt, die USB-C als einheitlichen Anschluss zum Laden von Elektrogeräten festlegt.
>>