De nog altijd mysterieuze malware die de BIOS van computers en laptops kan infecteren blijkt zich via USB-sticks te kunnen verspreiden. Twee weken geleden sloeg beveiligingsonderzoeker Dragos Ruiu, de bedenker van de bekende Pwn2Own-hackerwedstrijden, alarm over een onbekende BIOS-malware.
De BIOS (Basic Input/output System) is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die draait bij het opstarten. Een aanval op de BIOS kan vergaande gevolgen hebben en is lastig door bijvoorbeeld een virusscanner op de desktop te detecteren.
De malware die Ruiu had ontdekt bleek de BIOS permanent te infecteren en kon het zogeheten flashen van de BIOS, waarbij er een update wordt geïnstalleerd, overleven. Daarnaast beschikt de malware over een BIOS-hypervisor, ook wel een virtual machine monitor (VMM) genoemd waarin een Virtual Machine wordt gedraaid, en Software Defined Radio (SDR)-functionaliteit om 'air gaps' te overbruggen. Ruiu zegt dat hij de malware op Dell Alienware, Thinkpads en Sony-laptops heeft aangetroffen.
De onderzoeker heeft nu ontdekt dat deze BIOS-malware zich ook via USB-sticks kan verspreiden. Het aansluiten van een USB-stick van een besmet systeem op een schoon systeem is voldoende om het schone systeem te infecteren. "Dit was op een BSD-systeem, dus het is zeker geen Windowsprobleem", aldus Ruiu in een bericht op Google Plus. Hij merkt op dat de USB-stick niet eens gemount was om het systeem toch te infecteren.
Volgens Ruiu lijkt het erop dat een besmet systeem de flash-controller op de USB-sticks herprogrammeert om zo het systeem en mogelijk ook de BIOS aan te vallen. Het onderzoek wordt bemoeilijkt doordat het zeer lastig is om gegevens van een besmet systeem te halen, laat de onderzoeker verder weten.
Vooralsnog lijkt het erop dat de malware op Windows allerlei fontbestanden gebruikt. Ruiu trof allerlei extra ttf- en fon-bestanden op een besmet Windowssysteem aan, waarbij er drie opvallen, namelijk meiryo, meiryob en malgunnb. "Ik ben nog steeds met de analyse bezig, maar ik weet zeker dat we ALLEMAAL een groot probleem hebben", concludeert Ruiu.
Deze posting is gelocked. Reageren is niet meer mogelijk.