Neuartiger Trojaner infiziert BIOS und Firmware

Auf der “Black Hat” Sicherheitskonferenz wurde ein neuartiger Trojaner demonstriert, der das Mainboard BIOS oder in die Firmware von Netzwerkkarten und auch optischen Laufwerken infizieren kann. Dies geschieht mit einer Kombination von Coreboot und SeaBIOS. Der Trojaners “Rakshasa” wurde nach einem hinduistischen Dämon benannt. Durch die tiefe Integration ist der PC bereits vor dem Starten eines Betriebssystems infiziert. Dadurch sind die zahlreichen auf dem Markt erhältlichen Antiviren-Programme nahezu nutzlos. Auch die Nutzung von vermeintlich sicheren Betriebssystemen wird somit ausgehebelt. Antiviren-Software könnte lediglich feststellen, dass “Rakshasa” läuft, den Trojaner aber nicht entfernen. Dies ist nur durch ein Flashen des BIOS bzw. der Firmware möglich. Aber selbst dann kann der Trojaner zurückkommen, warnt der Entwickler.

Bei entsprechendem Programmieraufwand könnte auch das Vorhandensein von “Rakshasa” gänzlich verschleiert werden, sodass kein Programm den Trojaner erkennen könnte. In so einem Fall könnte “Rakshasa” diverse weitere Schadsoftware über das Internet nachladen und erheblichen Schaden anrichten.

Bisher galt ein solcher Angriff nur als theoretisch denkbar. Der “Proof of Concept” wurde lediglich entwickelt, um eine Sicherheitslücke zu beweisen. Der Entwickler betont, dass er keine Baupläne oder genauere Informationen zu dem Trojaner veröffentlicht hat. Allerdings könnten fähige Hacker durchaus einen ähnlich funktionierenden Schädling nachbauen.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

Eine Antwort

  1. tux. sagt:

    Es gibt keine sicheren Betriebssysteme.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert