Lässt sich das BIOS infizieren?

Autor/Redakteur: Florian Schafroth/gg

Die Möglichkeit, das BIOS eines Rechners zu infizieren, existiert schon relativ lange. Das Online-Magazin Phrack hat dazu einen der besten Artikel veröffentlicht und auf der Webseite Pinczakko gibt es ebenfalls viele nützliche Informationen. Beim Thema BIOS-Infizierung kristallisiert sich derzeit eine deutliche Tendenz heraus, die am als “Zurück zu den Wurzeln” bezeichnen könnte. Die Infizierung des Master Boot Record (MBR), das Abfangen der Pointer in verschiedenen Systemtabellen des Betriebssystems, die Infizierung von Systemkomponenten – das alles gibt es bereits, und zwar schon sehr lange.

Durch die Infizierung des MBR oder des BIOS kann sich Schadcode unmittelbar nach dem Einschalten des Computers initialisieren. Ab diesem Zeitpunkt kontrolliert der Schadcode alle Etappen des Bootvorgangs des Computers und des Betriebssystems. Natürlich ist diese Lade-Methode für Virenschreiber attraktiv, wobei allerdings auch die Schwierigkeiten, mit denen sie dabei zu kämpfen haben, auf der Hand liegen. In erster Linie ist damit das nicht einheitliche Format des BIOS gemeint: Die Autoren des Schadcodes müssen in jedem Fall das BIOS jedes Herstellers unterstützen und sich mit dem Algorithmus der Firmware im ROM auskennen.

Dieser Artikel untersucht ein tatsächlich existierendes Schadprogramm genauer. Dieses Programm infiziert sowohl das BIOS als auch den MBR. Außerdem gehen wir auf die Installation der Software und ihren Erkennungsschutz ein. Nicht behandelt werden dagegen die Aspekte, die mit dem Eindringen des Schädlings ins System und dem kommerziellen Nutzen des Schadprogramms zu tun haben. Derzeit kann der Schädling nur Mainboards infizieren, die mit einem BIOS der Firma Award ausgestattet sind.

Installation

Kaspersky Lab führt den Trojaner, um den es in dieser Analyse geht, unter dem Namen “Rootkit.Win32.Mybios.a”. Dieser Schädling verbreitet sich als ausführbares Modul und bringt bereits alles zum Funktionieren notwendige mit.

Die Liste der Komponenten:

•          Treiber für die Arbeit mit dem BIOS – bios.sys (Gerät \Device\Bios)

•          Treiber zum Verbergen der Infektion – my.sys (Gerät \Device\hide)

•          Komponente BIOS – hook.rom

•          Bibliothek zur Steuerung des Treibers bios.sys – flash.dll

•          Tool vom Hersteller für die Arbeit mit dem BIOS-Abbild – cbrom.exe

Als erstes führt der Dropper eine simple Entschlüsselung durch und startet den Installationsprozess.

Aus den Schädlingsressourcen wird der Treiber bios.sys auf die Festplatte kopiert und gestartet und empfängt anschließend alle notwendigen Informationen über das BIOS. Seine Funktionalität wird im Folgenden näher beschrieben.

Als nächstes wird der Treiber my.sys in das Stammverzeichnis der Festplatte kopiert. Der BIOS-Typ entscheidet dann über die weitere Vorgehensweise.

Verwendet der Rechner ein Award-BIOS, werden folgende Schritte durchgeführt:

•          Lesen des BIOS aus dem Speicher, Suche nach SMI_PORT und Bestimmung der Größe des BIOS

•          Erstellung eines BIOS-Abbilds auf der Festplatte (c:\bios.bin)

•          Fehlt das Modul hook.rom in dem auf der Festplatte gespeicherten BIOS-Abbild, wird es diesem Abbild hinzugefügt

•          Einfügen des infizierten Abbilds von der Festplatte ins ROM

Wird kein Award-BIOS verwendet, infiziert der Dropper den MBR. Damit funktioniert das Rootkit auf jedem beliebigen System, unabhängig vom Hersteller des BIOS.