Die BIOS-Viren gehören zur alten Garde der Viren und konnten sich nie wirklich durchsetzen, da es zu viele unterschiedliche Mainboard-BIOSe gibt. Jetzt entdeckte der chinesische Virenscanner-Hersteller 360.cn einen neuen BIOS-Virus, der sich im Award-BIOS festsetzt und von dort aus die Festplatte und das Betriebssystem angreift. Wie man dem Trojan.Mebromi begegnet und ihn eliminiert, ohne gleich die Festplatte formatieren zu müssen wird im weiteren erklärt.
Die Annahme, dass eine gute Sicherheitssuite derartigen Angriffen Paroli bieten könnte ist einfach falsch. Virenscanner und andere Schutzprogramme agieren nur innerhalb des Betriebssystems und auf den beschreibbaren Medien, die wie externe Festplatten und USB-Sticks eingebunden werden. Das BIOS hingegen existiert in seiner einer eigenen Welt, die sich auf einen beschreibbaren Chip beschränkt, aber über die Festplatte ins Betriebssystem eindringen kann – der umgekehrte Weg für Virenscanner ist versperrt. Wegen der Vielzahl unterschiedlicher Mainboard-Hersteller mit ihren eigenen BIOS-Varianten können die Sicherheitssoftware-Hersteller kein wirksames Mittel zur Verfügung stellen, ohne Gefahr zu laufen, den PC komplett stillzulegen. Der aktuelle Virus Mebromi kann sich beim Start des PCs via Kommandozeilentool direkt an den Master-Boot-Record (MBR oder auch Startspur der Festplatte genannt) anheften. Von dort aus sind ihm alle Türen zum Betriebssystem geöffnet, wenn das System ein 32 Bit Windows XP oder Windows 2000 ist. In ein 64 Bit Betriebssystem kann sich der Virus nicht einnisten.
Über den MBR dringt der Trojan.Mebromi ein und läd als erstes ein Rootkit aus dem Internet herunter, damit der eigene Code durch Virenscanner nicht entfernt werden kann. Wird er dann durch die Sicherheitssoftware entdeckt oder durch Formatierung der Festplatte entfernt, beginnt der Kreislauf beim nächsten PC-Start von vorne, da ja nur die Datenmedien bereinigt wurden und nicht das BIOS. Abhilfe schafft jetzt nur noch ein neues BIOS, das man direkt beim Hersteller des Motherboards herunterladen kann. Moderne Mainboards ermöglichen das Flashen des BIOS auf Windows-Ebene. Hierbei ist zu beachten, dass man den Prozess auf keinen Fall unterbrechen darf oder nach einem erfolglosen Flash-Versuch den PC neu startet. Es besteht dann die Gefahr, dass der Rechner nicht mehr startet und der BIOS-Chip ausgetauscht werden muss, was mit Kosten und Wartezeiten verbunden ist.
Hat man keine Windows-Funktion zum Flashen des BIOS zur Verfügung, muss von einem anderen Medium gestartet werden. Jeder Hersteller bietet eine explizite Anleitung zum Flash-Vorgang an, wenn man eine Diskette, CD-ROM oder einen USB-Stick als Boot-Medium benutzen muss. In jedem Fall müssen vorher alle Übertaktungseinstellungen rückgängig gemacht werden und die Einstellung „Load Fail-Safe Defaults“ mit F10 im BIOS gespeichert werden. Danach ist die Bootreihenfolge noch anzupassen, damit der PC zuerst auf das Boot-Medium (CD, Diskette, USB) zugreift. Danch muss man nur noch den Anweisungen am Bildschirm folgen und einen anschließend eine Neustart machen, um sofort wieder ins BIOS zu wechseln und die Bootreihenfolge auf CD-ROM einzustellen. Der nächste Neustart sollte mit der Installations-CD von Windows XP erfolgen. Die Installationsroutine biete die Optionen „R“ und „K“ zur Reparatur an, damit man auf der Konsole folgenden Befehl einzugeben: fixmbr. Sollte die Festplatte nach dem nächsten Neustart nicht das Betriebssystem laden, muss man nochmal die Installations-CD einlegen und an der Konsole „fixboot c:“ eingeben.
BIOS-Schädlinge sind zurück
