Nieuws

Trojaans paard infecteert computer BIOS

zaterdag 10 september 2011, 09:54 door Redactie, 11 reacties

Onderzoekers hebben een Trojaans paard ontdekt dat zichzelf in de BIOS van computers verstopt, iets wat zowel zeldzaam als bijzonder is. De BIOS (Basic Input Output System) is een bibliotheek met een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware, en is essentieel voor de werking van de computer.

Een bekend virus dat het BIOS aanpaste was CIH, ook wel het Tsjernobyl virus genoemd. Deze malware had alleen als doel het beschadigen van de BIOS, waardoor computers niet meer werkten. "De BIOS is een ideale plek voor malware om zich te verstoppen", zegt Snorre Fagerland van het Noorse anti-virusbedrijf Norman. Daardoor kan de malware meteen controle over het systeem krijgen, voordat anti-virus of beveiligingsmaatregelen van het besturingssysteem worden geladen.

BIOS-malware is daardoor zeer gevaarlijk. Ondanks de voordelen, is dit soort malware zeer zeldzaam. Fagerland merkt op dat het lastig is om de BIOS te herprogrammeren en verschilt de implementatie per leverancier. Verder moet een aanvaller administrator-rechten hebben om de BIOS te kunnen flashen. "Als je iets verkeerds doet loop je het risico dat je van de computer een dure presse-papier maakt."

Harde schijf
De Mebromi Trojan die nu is ontdekt, flasht niet alleen de BIOS, maar infecteert ook de Master Boot Record (MBR) van de harde schijf. De BIOS-aanpassing controleert of de malware nog steeds in de MBR van de harde schijf actief is. Is dit niet het geval, dan wordt de MBR opnieuw geïnfecteerd. Het opnieuw formatteren van de harde schijf of zelfs het vervangen ervan, kan het virus niet volledig verwijderen.

De malware doet zich volgens het Chinese 360 Security voor als een "game plug-in" en zou gebruikers vragen om hun virusscanner uit te schakelen. Eenmaal actief infecteert de malware de BIOS, de MBR van de harde schijf en Windows, waarna het aanvullende malware downloadt. Mebromi richt zich alleen op systemen met een Award BIOS.

DigiNotar-hacker maakt 60.000 certificaten waardeloos

Rotterdam scant gezichten tramreizigers

Reacties (11)

10-09-2011, 10:33 door Spiff has left the building

Ik hoop toch dat die Award BIOS kan worden geflashed vanuit POST of vanuit het BIOS setup menu? Of desnoods vanuit DOS-mode?
In dat geval zal het BIOS hopelijk te herstellen zijn met behulp van een schone BIOS-file?

10-09-2011, 11:09 door Anoniem

het zal toch wel mogelijk moeten zijn om van een cd (read only) te booten voor het kunnenn flashen van de BIOS.
maar goed, kom er maar eens zo snel achter dat het virus in je BIOS zit.

10-09-2011, 11:23 door spatieman

alweer die chinezen

10-09-2011, 11:49 door [Account Verwijderd]

[Verwijderd]

10-09-2011, 12:05 door [Account Verwijderd]

[Verwijderd]

10-09-2011, 14:45 door TD-er

Vroegah kon je nog eens een BIOS-chip uit een mainboard halen en met een programmer of gewoon hot flashen in een ander mainboard alsnog updaten. (hot flashen is na booten de. bios chip wisselen en opnieuw programmeren)
Tegenwoordig hebben de mainboard fabrikanten echter een paar cent weten te besparen door de chips op het mainboard te solderen.

GigaByte had nog een reeks mainboard met een 2e chip erop waar je vanaf kon booten met een jumpertje verzetten en Asus heeft het BIOS op sommige mainboards opgedeeld in een boot deel en een te upgraden deel.
Maar evengoed zal het een hoop ellende opleveren voor heel veel mensen en voor een hoop ook een reden om de hardware te upgraden.

10-09-2011, 18:14 door Anoniem

Kan je een BIOS flashen als de BIOS een wachtwoord heeft?

11-09-2011, 00:07 door Anoniem

BIOS kun je ook flashen als die een wachtwoord heeft. Wachtwoord is slechts om te zorgen dat je niet het bios configuratie menu in kan. Configuratie opties als "write protection" zijn zo goed als waardeloos, gezien je die vanuit Ring 0 ("administrator / root") gewoon weer terug kunt zetten.

11-09-2011, 00:30 door Anoniem

""Verder moet een aanvaller administrator-rechten hebben om de BIOS te kunnen flashen.""

In één zin wordt het probleem omschreven. In Windows heb je altijd de root/administrator rechten.

11-09-2011, 03:47 door _____

Vraag: is het voldoende om het BIOS van een wachtwoord te voorzien en de flash optie uit te schakelen?

11-09-2011, 11:26 door Spiff has left the building

Door Anoniem, 00:30 uur: "Verder moet een aanvaller administrator-rechten hebben om de BIOS te kunnen flashen."
In één zin wordt het probleem omschreven. In Windows heb je altijd de root/administrator rechten.

Onzin.
Gebruik een standaardgebruikersaccount.
Een administratoraccount gebruik je alleen wanneer dat nodig is.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer