Rootkit de BIOS gasit in libertate

virus BIOSCercetatorii de securitate au descoperit recent un nou rootkit care ataca BIOS-ul computerelor, pentru a face infectia mai greu de detectat si eradicat, si persista chiar si daca hard-diskul este inlocuit.

Numit Mebromi, rootkitul a fost detectat prima oara de o companie de securitate chineza in timp ce monitoriza virusi aflati in libertate. Apoi alti cercetatori au reusit sa faca rost de malware si sa-l analizeze.

Potrivit Webroot, pachetul malitios contine un rootkit de BIOS, un rootkit de MBR, un rootkit al kernelului, un infector de fisiere PE si un Trojan Downloader.

Odata descarcat in computer, malware-ul intai verifica tipul de  BIOS folosit. Daca este Award BIOS – folosit de placile de baza dezvoltate de Phoenix Technologies – se agata de el astfel incat de fiecare data cand sistemul este restartat poate infecta la loc ori de cate ori este nevoie.

Odata ajuns acolo, adauga cod malitios MBR-ului computerului pentru a infecta procesul winlogon.exe (Windows XP/2003) sau winnt.exe (Windows 2000), care va fi folosit sa descarce un fisier aditional pe care il va executa. Este un alt rootkit care previne dezinfectarea codului MBR de catre un antivirus.

Mebromi ataca momentan utilizatori chinezi. Chiar daca victima nu are un BIOS de tip Award, pericolul nu este indepartat – pur si simplu omite primul pas si se duce direct la MBR.

Marco Giuliani (Webroot) speculeaza faptul ca Mebromi ataca doar Award BIOS ROM deoarece a fost modelat dupa rootkitul IceLord – un Proof of Concept facut public in 2007 si care facea acelasi lucru. Pentru ca Mebromi sa devina o amenintare majora este necesar ca realizatorii lui sa-l faca perfect compatibil cu majoritatea tipurilor de BIOS, ceea ce va fi dificil.

“Pastrarea codului malitios in interiorul BIOS ROM poate deveni mai mult decat o problema pentru softurile de securitate, avand in vedere ca desi un antivirus detecteaza si curata infectia MBR-ului, ea va fi restaurata dupa urmatorul restart al sistemului cand BIOS-ul infectat va rescrie codul MBR din nou”, a adaugat el.

“Dezvoltarea unui utilitar antivirus capabil sa dezinfecteze codul BIOS este o provocare deoarece nu trebuie sa cauzeze niciun fel de eroare pentru a evita imposibilitatea de a boot-a a sistemului. Sarcina de a se descurca cu asemenea coduri de sistem ar trebuie lasata dezvoltatorilor respectivelor placi de baza care lanseaza actualizari de BIOS alaturi de utilitare specifice pentru a actualiza codul BIOS.”

Probabil acum majoritatea antivirusilor recunosc rootkitul si il vor bloca inca de la descarcare. Insa acum se vede ca este nevoie de cateva victime initiale pentru ca eu, tu si altii sa fim protejati de acesti virusi nemilosi. Oare au esuat antivirusii timp de 25 de ani? Eu cred ca da.

Security Evangelist

7 responses to “Rootkit de BIOS gasit in libertate”

  1. andrei

    de curiozitate daca pe langa un antivirus sau pachetu internet security folosim si un firewall foarte bun rezolvam ceva?

  2. daniel

    multe BIOS-uri au posibilitatea de modificare a pozei la pornirea sistemului (logo)
    locatia respectiva din cipul de bios poate fi folosita pentru stocare de cod malitios

    sau locatia unde se salveaza profile cu setari …

    daca mai punem la socoteala si virusul din bateria de la laptop … viitorul pare sumbru

    EFI BIOS este mult mai mare, mai complex ca sa poata gheorghe sa dea click cu mouse-ul si, si astfel creste si locul unde poate sa se ascunda, creste durata update-ului, creste probabilitatea sa se intimple ceva cind se face update (un soc de curent – nu toti au UPS) …

  3. Robert

    @Gigi: “Oare au esuat antivirusii timp de 25 de ani?”

    In primul rand vreau sa va salut pe toti.
    In al doilea rand, de ce iti mai pui intrebarea asta, Gigi, cand deja stii raspunsul? Bineinteles ca nu au esuat, ci au vrut sa esueze; nu stiu daca intelegi ce vreau sa spun, dar cum ai scris si tu in articolul “Intr-o lume plina……..”, companiile antivirus lucreaza cu raufacatorii, intentia lor este sa faca bani de pe urma noastra, mai bine zis, de pe urma celor care nu stiu despre ce este vorba si folosesc un produs de securitate pe calculatorul personal de acasa; desigur, in companii este absolut necesar ca sistemele sa fie protejate, dar nu si acasa, ma rog, nu mai spun nimic, nu vreau sa fie offtopic. Si inca ceva, era sa uit, a fost creat vreun removal de catre o companie de securitate pana acum pentru inlaturarea completa a acestui rootkit?
    Atat vroiam sa-ti spun, nimic altceva, am spus destul!

    Sanatate si numai bine tuturor.

  4. Gabryel

    deci pana la urma e buna idea cu doua bios-uri pe placa de baza – gigabyte :P

  5. Robert

    @Gigi: Salutare, corect dar asta este ideea, ce-ti spun eu aici, ei vor sa se creeze virusi in continuare si nu vor sa scape de update-uri, in felul acesta castiga bani, iar noi ramanem neprotejati si mai si platim pe deasupra pentru niste servicii………. ma rog, nu are rost sa mai spun, ca si cum ai plati tigari, care nu iti aduc niciun serviciu, mai mult, iti distrug sanatatea. De aceea, exista antivirusi gratuiti. Atat aveam de spus si multumesc pentru raspuns referitor la rootkit.

    Sanatate si numai bine tuturor.

Leave a Reply