VirusTotal überprüft Firmware auf Malware

VirusTotal analysiert jetzt nicht mehr nur einzelne hochgeladene Dateien mit einer Anzahl verschiedener Antivirenprogramme auf alle Arten von Schadsoftware, sondern überprüft auch Firmware-Images. Eingereicht werden können legitime wie auch bereits als bösartig bekannte Images, um detaillierte Informationen über sie zu erhalten.

Zum Thema wurde mit Malware infiltrierte Firmware durch Edward Snowdens Enthüllungen über Anstrengungen der NSA, BIOS-Firmware zu infizieren. Dergleichen sei aber inzwischen nicht mehr nur dem Auslandsgeheimdienst der Vereinigten Staaten möglich, sondern auch anderen, heißt es dazu in einem Blogeintrag des kostenlosen Dienstes, der 2012 von Google übernommen wurde: „Lenovos Service Engine oder das UEFI-Rootkit von Hacking Team sind Beispiele dafür, warum die Sicherheitsbranche einen gewissen Schwerpunkt auf diese Form von Schlechtigkeit legen sollte.“ Da das BIOS einen Computer bootet und beim Laden des Betriebssystems mitwirkt, könnten Angreifer durch seine Manipulation Schadsoftware einschleusen, die auch Neustarts oder eine komplette Neuinstallation nach dem Löschen sämtlicher Datenträger überstehen kann.

Als besonders aufschlussreich empfiehlt der Dienst die angebotene Extraktion von UEFI Portable Executables (PEs). Sie können extrahiert und einzeln zu VirusTotal hochgeladen werden, um zu jedem genauere Informationen zu erhalten. Das Tool stellt dabei heraus, welche PEs auf Windows zielen und statt nur im Pseudo-OS UEFI in Microsofts Betriebssystem laufen sollen. Das ist zwar untypisch, kann aber insbesondere auch für bösartige Zwecke eingesetzt werden. Ein legitimes Beispiel ist etwa ein solcher Code, der zu einem Produkt namens Computrace gehört und oft als Diebstahlschutz in einem BIOS eingebettet ist. Das soll sich nützlich machen, um ein gestohlenes System selbst nach vollständiger Löschung und Neuinstallation noch aufzuspüren.

Eine missbräuchliche Nutzung hingegen prangert VirusTotal im Fall der von Lenovo per Rootkit installierten System-Software an. Sie diente dem Hersteller dazu, unerwünschte eigene System-Software auf seinen Computern zu installieren. Selbst nach einer Neuinstallation des Betriebssystems mit einer Windows-DVD war der chinesische Computerhersteller so in der Lage, seine Software ohne Wissen und Zustimmung des Nutzers nachträglich einzuspielen. Er musste im letzten Jahr selbst einräumen, dass die dafür eingesetzte Lenovo Service Engine (LSE) ein Sicherheitsrisiko darstellt. Hacker könnten die Software benutzen, um Schadsoftware einzuschleusen.

Noch mehr Informationen kann das Einreichen eines kompletten BIOS-Dumps bei VirusTotal liefern. Der Dienst empfiehlt verschiedene Utilities für Mac und PC, um das BIOS auszugeben. Es rät aber zur Entfernung privater Informationen vor dem Hochladen – manche Hersteller speichern sensible Daten wie WLAN-Passwörter in BIOS-Variablen, damit sie nach einer Neuinstallation weiterhin verfügbar sind. Das für Mac verfügbare Tool DarwinDumper bietet eine Option, solche Informationen automatisch zu entfernen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de