Trojaner infiziert BIOS - Gefahr für Windows

Die Firma Symantec meldet in ihrem Blog die Entdeckung eines neuen Trojaners. Er hat den Namen Mebromi bekommen und kann Schadsoftware in BIOS-Versionen von Award einschleusen. Damit ist es dem Trojaner möglich, Zugriff auf das System zu erlangen, schon bevor der Master Boot Record (MBR) geladen ist. Windows ist aber die Voraussetzung für die Infizierung auf der BIOS-Ebene.

Der Trojaner kopiert zunächst einen Treiber nach %system%\drivers\bios.sys und beendet danach den Dienst beep.sys. Dieser wird dann durch den Inhalt der Datei bios.sys ersetzt und neu gestartet. Dann stellt der Schadcode fest, ob der Rechner mit einem BIOS von Award betrieben wird. Wenn das so ist, fügt Mebromi Schadcode als eigene Erweiterung in das BIOS ein. Ist das BIOS infiziert, manipuliert es den MBR und hinterlegt dort weitere Schadsoftware. Diese infizieren dann die Dateien winlogon.exe (Windows XP und Server 2003) oder winnt.exe (Windows 2000). Danach lädt er weitere Komponenten aus dem Internet nach.

Mebromi ist bisher nur schwer zu entfernen, da die Infektion bereits vor dem Windows-Start wirksam wird - also bevor ein Virenscanner läuft.

Mebromi kann auch ohne Award-BIOS seine Wirkung teilweise entfalten. Dann aber ist Mebromi durch Antivirussoftware leicht zu entdecken. Eine MBR-Infektion ist für den Trojaner dann deutlich schwieriger durchzuführen oder sogar unmöglich. Wenn dagegen das BIOS infiziert ist, wird es für Anwender schwierig, ihre Rechner wieder zu reinigen. Virenscanner haben auf den Programmcode im BIOS normalerweise keinen Zugriff. Die Hersteller von Antiviren-Software könnten entsprechende Programmfunktionen jedoch in ihre Produkte einbauen oder spezielle Tools dafür zur Verfügung stellen.