254653

Kann Malware in PCI-Karten überwintern?

22.11.2006 | 16:05 Uhr |

Ein Forscher hat ein Konzept veröffentlicht, wie ein Rootkit die komplette Neuinstallation des Betriebssystems überdauern kann, indem es sich in Flash-Speicher auf Erweiterungskarten kopiert.

Die Zeiten von Bootsektorviren, die auch das Formatieren einer Festplatte überleben, sind an sich vorbei. Der Sicherheitsforscher John Heasman von Next Generation Security Software will einen anderen Weg gefunden haben, wie Schädlinge auch eine komplette Neuinstallation, einschließlich Festplattenformatierung überleben können. Sie könnten sich im Konfigurationsspeicher von Grafik- oder Netzwerkkarten einnisten.

John Heasman hatte sein Konzept bereits Anfang dieses Jahres auf einer Sicherheitskonferenz präsentiert und hat nun eine ausführlichere Arbeit dazu unter dem Titel " Implementing and Detecting a PCI Rootkit " veröffentlicht. Darin beschreibt er, wie sich ein Rootkit mit Hilfe der ACPI-Funktionen (Advanced Configuration and Power Interface) von PC-Mainboards im Flash-Speicher von PCI-Karten verbergen kann.

Während das BIOS des Mainboards oft durch einen Jumper (Steckbrücke) vor Schreibzugriffen geschützt ist, sind derartige Vorkehrungen bei PCI-Karten nicht üblich. So könnte ein Rootkit im Konfigurationsspeicher abgelegte Befehlstabellen manipulieren. Beim Start des Rechners werden diese veränderten Befehle ausgeführt, prinzipiell unabhängig davon, welches Betriebssystem geladen wird.

Schutz vor derartigen Manipulationen bieten Trusted Platform Module, die bereits auf einigen neueren Mainboards vorhanden sind. Sie unterstützen eine Reihe von Sicherheitsmechanismen, die auf Grund ihrer Möglichkeiten zur Einführung Hardware-basierter DRM-Funktionen (Digital Rights Management) jedoch umstritten sind.

Nach Ansicht von John Heasman werden Rootkits, die sich im Flash-Speicher von PCI-Karten verbergen, nicht so bald alltäglich werden. Dafür gebe es noch zu viele Anwender, die nicht einmal Sicherheits-Updates für ihr Betriebssystem oder Antivirus-Software installierten. Solange sich dies nicht ändere, hätten Malware-Programmierer es nicht nötig, so tief in die Trickkiste zu greifen.

0 Kommentare zu diesem Artikel
254653