Bios Virus Scanner

Bios-Virenscanner

Bootsektorviren gibt es heute fast keine mehr, da BIOS und Betriebssysteme in der Regel einen gut funktionierenden Schutz haben. BIOS-Code der Total Virus Analysis (UEFI)| c't Magazine Mit dem Virustotal Virenscan-Webservice werden nun auch geladene Firmware-Images, wie z.B. BIOS-Updates, überprüft - und es ergeben sich interessante Erkenntnisse. Jeder kann auf die Website der Google-Tochter Virustotal.

com Daten laden, um sie auf etwaige Viren, Throjaner und andere Schadprogramme zu überprüfen. Der kostenfreie Virenscan mit über 50 Scanner-Engines arbeitet nun auch mit Firmware und BIOS-Bildern, die als Datei hochgeladen werden.

Dies haben wir mit einem ausgepackten BIOS-Update für ein Asus-Mainboard erprobt. Ein Blog-Post erklärt, dass Virustotal durch eine eingehendere Untersuchung von (UEFI-)BIOS-Bildern versteckte Malware wie z. B. Bootskits oder BIOS-Viren zu entdecken sucht. Einige BIOS-Images enthalten auch Windows-Executables, wie z.B. Laptops mit absolutem Schutz vor Diebstahl (früher Computrace). Was besonders aufregend ist, ist, dass Virustotal nach einem Mausklick auf die Registerkarte "File detail" eine Vielzahl von Erkenntnissen aus den umfangreichen Analysefunktionen vorlegt.

Virustotal verwendet den UEFI-Parser, der von Teddy Reed in Phython geschrieben wurde. Das von uns hochgeladene BIOS-Update 1602 für das Asus Z170-A Mainboard enthält z. B. Fahrer zur Steuerung der USB-Maus und des NVME-Bootmediums sowie Overclocking-Tools. Außerdem verpackt Asus Windows-DLLs in das BIOS. Das BIOS 1602 der Z170-A, das von c't bei Virustotal hochgeladen wurde, enthält die beiden Files asio.dll und atkex.dll. Der BIOS 1602 enthält die Files asio.dll und atkex.dll.

Sie erscheinen auch in der Registrierung eines auf dem Computer befindlichen Computers und beziehen sich auf die Software Assus AI Suiten, wahrscheinlich die BIOS-Update-Funktion. Interessant sind auch die im BIOS-Image gespeicherten kryptographischen Keys im PEM-Format, die z. B. für UEFI Safe Boat notwendig sind. Keys von Microsoft und Assus sind keine Wunder für das erwähnte BIOS 1602 des Assus Z170-A, sondern ein Keys der Fa. Canonical, vielleicht für den risikofreien Einstieg von Ubuntu Linux.

Bei anderen hochgeladenen Audiodateien erstellt Virustotal für jedes Firmware-Image einen SHA256-Hash und sichert die Resultate. Die Blog-Posts verlinken einige Auswertungen von BIOS-Updates für Laptops von Dell, HP und Lenovo. Ein Lenovo-BIOS enthält daher lauffähige Windowsdateien, die wahrscheinlich zu unerwünschter vorgeinstallierter Programmsoftware zählen, die nicht vollständig aus dem Betriebssystem entfernt werden kann, indem sie im BIOS verankert sind.

Mehr zum Thema