BIOS neues Rootkit- und Malwareziel
Securityexperten warnen
Das BIOS könnte wieder Ziel der kommenden Generationen von Malware werden, warnen Sicherheitsexperten. In bereits einem Monat könnten entsprechender Schadcode im Umlauf sein, so Greg Hoglund, Rootkit-Experte bei der Securityfirma HBGary. Moderne BIOSe sind sehr leistungsfähig und in der Lage, die gängigen Schadroutinen von Rootkits auszuführen: Freigabe von Rechten und das Auslesen von Arbeitsspeicher beispielsweise. Ebenso verfügbar seien die entsprechenden Compiler und mächtige Programmiersprachen.
Die kommende Malwaregeneration könnte das BIOS jedoch in erster Linie als sicheren Speicherort nutzen, anstatt es zu sabotieren. Strittig ist der tatsächliche Grad der Gefährdung, da das Überschreiben eines BIOS nicht ganz so trivial ist wie die Installation einer Malware ins Betriebssystem.
Zahlreiche Motherboard-Hersteller würden darüberhinaus ihre Mainboards per Jumpersetting gegen ein unbeabsichtigtes Überschreiben des BIOS schützen, Hoglund bezweifelt dies jedoch, per default seien die Mehrzahl der Systeme flashbar.
Letzter Punkt, der zur Attraktivität der kommenden neuen Möglichkeitenbeiträgt: Plattformunabhängigkeit. Der in BIOSsen verwendete ACPI-Codeist sehr leicht portierbar, die neue Malwaregeneration könnteplattformübergreifend aktiv werden.
Existiert erst einmal das erste Rootkit, welches das BIOS als Speicherort missbraucht, würde eine neue Stufe im Kampf ser Securitysoft-Hersteller und der Malware-Autoren erreicht werden: dann ist nicht mehr sicher gewährleistet, dass die bisherige Ultima Ratio - Formatierung der Festplatte(n), Neuaufsetzen des Systems - eine Infektion sicher beseitigt. Auch wenn die begrenzte Größe eines BIOS nur das Hinterlegen weniger zentraler Funktionen eines Schadcodes erlaubt.
Verwandte News
- BIOS neues Rootkit- und Malwareziel
- Happy Birthday, Virus
Trackbacks
- Es sind noch keine Trackbacks zu diesem Artikel vorhanden.
- » Keine Trackbacks » Trackback URL dieses Artikels
- 9 Kommentare zum Artikel
-
Mit einer gesperrten Festplatte kann man auch kein Geld verdienen, insofern gibt es keinen wirtschaftlich vernünftigen Grund, sowas zu verbreiten. Mal die Leute ausgenommen, die sowas dann gegen Geld wieder freischalten oder zumindest die Daten retten. Selbst wenn man sowas aus Spaß machen würde, verbreiten kann sich diese Software auch nicht von einer gesperrten Festplatte ...
aNtiCHrist am 28.01.2006 20:53 -
Wenn man sich sowas eingefangen hat, muss es ja nicht direkt die Platte blockieren, sondern das Programm hat alle Zeit der Welt, alles zu machen wozu es Lust hat. Das es sich nicht besonders verbreitet hat, liegt wohl wirklich daran, dass man damit kaum Geld verdienen kann, bzw man schnell geschnappt wird, botnetze sind da um einiges interressanter. mfGr
natbornkiller am 28.01.2006 21:06 -
Zitat: Zitat von Salomon Wie im Artikel erwähnt schauen, ob man beim Mainboard via Jumper das BIOS schreibschützen kann! (-> Handbuch) kann ich nur zustimmen. von mir gibts dann noch ein passwort und dann wird wohl erst einmal ruhe einkehren (hoffentlich) aNtiCHrist hat es erfasst; ich bin immer davon ausgegangen das solche subjekte mit diesen aktionen geld verdienen. abgesehen von denen die zu ...
doornkaat am 30.01.2006 10:59 -
Zitat: Zitat von natbornkiller Es gibt in aller Regel wohl nur die Softwareoption, des Biossperrens, die als antivirusoption dargestellte Funktion ist aber defaultmässig deaktiviert. Ist das nicht eine Bootblock-Modifizierungs-Sperre?
G-F am 30.01.2006 12:12
