Der Virenscan-Webdienst Virustotal untersucht nun auch hochgeladene Firmware-Images, beispielsweise BIOS-Updates – und liefert hochinteressante Einblicke.

Auf der Webseite der Google-Tochterfirma Virustotal.com kann jeder Dateien hochladen, um sie auf Viren, Trojaner und andere Malware untersuchen zu lassen. Die kostenlose Virensuche mit über 50 Scanner-Engines funktioniert nun auch bei Firmwares und BIOS-Images, die man als Dateien hochlädt. Wir haben das mit einem entpackten BIOS-Update für ein Asus-Mainboard ausprobiert.

Wie ein Blog-Beitrag erläutert, versucht Virustotal durch eine tiefere Analyse der (UEFI-)BIOS-Images, darin verborgenen Schadcode zu erkennen, etwa Bootkits oder BIOS-Viren. Manches BIOS-Image enthält sogar ausführbare Windows-Dateien, etwa bei Notebooks mit dem Diebstahlschutz von Absolute (früher Computrace).

Besonders spannend ist dabei, dass Virustotal eine Fülle von Ergebnissen der erweiterten Analysefunktionen nach einem Klick auf den Reiter "File detail" präsentiert. Dabei bedient sich Virustotal des in Python geschriebenen UEFI-Parsers von Teddy Reed. Bei einem modularen UEFI-BIOS sind viele Einzelfunktionen jeweils in ein Portable Executable im PE- oder PE32-Format verpackt. So finden sich in dem von uns hochgeladenen BIOS-Update 1602 für das Asus-Mainboard Z170-A beispielsweise Treiber zur Ansteuerung von USB-Maus und NVMe-Bootmedien, aber auch Übertaktungs-Tools.

Asus packt ins BIOS aber auch Windows-DLLs. In dem von c't bei Virustotal hochgeladenen BIOS 1602 des Z170-A stecken unter anderem die Dateien asio.dll und atkex.dll. Diese Namen tauchen auch in der Registry eines installierten Windows auf und verweisen auf die Asus-Software AI Suite, vermutlich auf die Funktion für BIOS-Updates.

Secure-Boot-Schlüssel

Interessante Hinweise liefern auch die im BIOS-Image hinterlegten kryptografischen Schlüssel im PEM-Format, die beispielsweise für UEFI Secure Boot nötig sind. Schlüssel von Microsoft und Asus sind beim erwähnten BIOS 1602 des Asus Z170-A keine Überraschung, wohl aber ein Key der Firma Canonical, vielleicht für den sicheren Start von Ubuntu Linux.

Wie für andere hochgeladene Dateien erzeugt Virustotal auch für jedes Firmware-Image einen SHA256-Hash und speichert die Ergebnisse. So lassen sich Analysen vergleichen und auch später abrufen. Der erwähnte Blog-Beitrag verlinkt einige Analysen von BIOS-Updates für Notebooks von Dell, HP und Lenovo. In einem Lenovo-BIOS finden sich demnach ausführbare Windows-Dateien, die vermutlich zu unerwünscht vorinstallierter Software gehören, die sich durch die Verankerung im BIOS nicht restlos vom System entfernen lässt.