Nieuws
image

Trojaans paard infecteert computer BIOS

zaterdag 10 september 2011, 09:54 door Redactie, 11 reacties

Onderzoekers hebben een Trojaans paard ontdekt dat zichzelf in de BIOS van computers verstopt, iets wat zowel zeldzaam als bijzonder is. De BIOS (Basic Input Output System) is een bibliotheek met een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware, en is essentieel voor de werking van de computer.

Een bekend virus dat het BIOS aanpaste was CIH, ook wel het Tsjernobyl virus genoemd. Deze malware had alleen als doel het beschadigen van de BIOS, waardoor computers niet meer werkten. "De BIOS is een ideale plek voor malware om zich te verstoppen", zegt Snorre Fagerland van het Noorse anti-virusbedrijf Norman. Daardoor kan de malware meteen controle over het systeem krijgen, voordat anti-virus of beveiligingsmaatregelen van het besturingssysteem worden geladen.

BIOS-malware is daardoor zeer gevaarlijk. Ondanks de voordelen, is dit soort malware zeer zeldzaam. Fagerland merkt op dat het lastig is om de BIOS te herprogrammeren en verschilt de implementatie per leverancier. Verder moet een aanvaller administrator-rechten hebben om de BIOS te kunnen flashen. "Als je iets verkeerds doet loop je het risico dat je van de computer een dure presse-papier maakt."

Harde schijf
De Mebromi Trojan die nu is ontdekt, flasht niet alleen de BIOS, maar infecteert ook de Master Boot Record (MBR) van de harde schijf. De BIOS-aanpassing controleert of de malware nog steeds in de MBR van de harde schijf actief is. Is dit niet het geval, dan wordt de MBR opnieuw geïnfecteerd. Het opnieuw formatteren van de harde schijf of zelfs het vervangen ervan, kan het virus niet volledig verwijderen.

De malware doet zich volgens het Chinese 360 Security voor als een "game plug-in" en zou gebruikers vragen om hun virusscanner uit te schakelen. Eenmaal actief infecteert de malware de BIOS, de MBR van de harde schijf en Windows, waarna het aanvullende malware downloadt. Mebromi richt zich alleen op systemen met een Award BIOS.

Reacties (11)
10-09-2011, 10:33 door Spiff has left the building
Ik hoop toch dat die Award BIOS kan worden geflashed vanuit POST of vanuit het BIOS setup menu? Of desnoods vanuit DOS-mode?
In dat geval zal het BIOS hopelijk te herstellen zijn met behulp van een schone BIOS-file?
10-09-2011, 11:09 door Anoniem
het zal toch wel mogelijk moeten zijn om van een cd (read only) te booten voor het kunnenn flashen van de BIOS.
maar goed, kom er maar eens zo snel achter dat het virus in je BIOS zit.
10-09-2011, 11:23 door spatieman
alweer die chinezen
10-09-2011, 11:49 door [Account Verwijderd]
[Verwijderd]
10-09-2011, 12:05 door [Account Verwijderd]
[Verwijderd]
10-09-2011, 14:45 door TD-er
Vroegah kon je nog eens een BIOS-chip uit een mainboard halen en met een programmer of gewoon hot flashen in een ander mainboard alsnog updaten. (hot flashen is na booten de. bios chip wisselen en opnieuw programmeren)
Tegenwoordig hebben de mainboard fabrikanten echter een paar cent weten te besparen door de chips op het mainboard te solderen.

GigaByte had nog een reeks mainboard met een 2e chip erop waar je vanaf kon booten met een jumpertje verzetten en Asus heeft het BIOS op sommige mainboards opgedeeld in een boot deel en een te upgraden deel.
Maar evengoed zal het een hoop ellende opleveren voor heel veel mensen en voor een hoop ook een reden om de hardware te upgraden.
10-09-2011, 18:14 door Anoniem
Kan je een BIOS flashen als de BIOS een wachtwoord heeft?
11-09-2011, 00:07 door Anoniem
BIOS kun je ook flashen als die een wachtwoord heeft. Wachtwoord is slechts om te zorgen dat je niet het bios configuratie menu in kan. Configuratie opties als "write protection" zijn zo goed als waardeloos, gezien je die vanuit Ring 0 ("administrator / root") gewoon weer terug kunt zetten.
11-09-2011, 00:30 door Anoniem
""Verder moet een aanvaller administrator-rechten hebben om de BIOS te kunnen flashen.""

In één zin wordt het probleem omschreven. In Windows heb je altijd de root/administrator rechten.
11-09-2011, 03:47 door _____
Vraag: is het voldoende om het BIOS van een wachtwoord te voorzien en de flash optie uit te schakelen?
11-09-2011, 11:26 door Spiff has left the building
Door Anoniem, 00:30 uur: "Verder moet een aanvaller administrator-rechten hebben om de BIOS te kunnen flashen."
In één zin wordt het probleem omschreven. In Windows heb je altijd de root/administrator rechten.
Onzin.
Gebruik een standaardgebruikersaccount.
Een administratoraccount gebruik je alleen wanneer dat nodig is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search