Rootkit überlebt Harddisk-Tausch

Im Rahmen der Konferenz CanSecWest im kanadischen Vancouver haben argentinische Sicherheitsforscher den Prototypen eines BIOS-Rootkits vorgestellt. Es nistet sich im Flash-Speicher auf der Hauptplatine des Rechners ein und kann so nicht nur das Formatieren der Festplatte oder deren Austausch überleben.

Anibal Sacco und Alfredo Ortega von Core Security Technologies haben ihren Angriff auf das Rechner-BIOS in einem Vortrag mit dem Titel "Persistent BIOS Infection" demonstriert. Sie haben gezeigt, dass dazu nicht notwendigerweise ein Windows-Rechner gebraucht wird, auch unter OpenBSD funktioniert die Methode. Ein voll funktionsfähiges Rootkit haben die beiden allerdings noch nicht.

Das sei jedoch kein Problem, meinen die beiden Forscher. Zwar seien Administrator- oder Systemrechte erforderlich, um den BIOS-Patch zu installieren, dies sei jedoch mit einem modifizierten Gerätetreiber machbar. Sie hätten sogar bereits Programm-Code der Antivirus-Lösungen deaktivieren oder entfernen könne.

Da das Rootkit in einem Chip auf der Hauptplatine gespeichert ist, bringt es auch nichts, die Festplatte zu formatieren oder sie durch eine fabrikneue zu ersetzen. Das infizierte BIOS kann bei jedem Neustart des Rechners die Infektion der Festplatte erneuern. Schutz vor einem solchen Angriff bietet jedoch ein Schreibschutz-Jumper auf der Hauptplatine, der nur vor dem Einspielen eines BIOS-Updates vorübergehend umgesteckt oder entfernt wird - wenn überhaupt.