Mebromi: Malware skriven u BIOS-u

Opisi virusa, 16.09.2011, 11:15 AM

Mebromi: Malware skriven u BIOS-u

Istraživači kompanije Webroot identifikovali su novi malware koji menja softver na matičnoj ploči zaraženog računara zbog čega je uklanjanje infekcije veoma teško. To je prvi malware čija je meta BIOS. Malware nosi naziv Mebromi i mešavina je nekoliko malicioznih komponenti: BIOS rootikt-a koji pogađa Award BIOS, MBR rootkit-a, kernel mod rootkit-a, PE fajl infektora i Trojanca downloader-a.

Mebromi u ovom trenutku ne pogađa 64-bitni operativni sistem a nije u stanju ni da uzrokuje infekciju sistema sa ograničenim privilegijama.

Rootkit Mebromi menja BIOS napadnutog računara i daje instrukcije koje se izvršavaju na samom početku procesa podizanja sistema. Ove instrukcije menjaju MBR (Master Boot Record), koji se takođe pokreće pre učitavanja operativnog sistema zaraženog računara. Remeteći procese koji se odvijaju odmah pošto se kompjuter uključi, Mebromi ima veće šanse da preživi pokušaje antivirusnog softvera instaliranog na računaru da ukloni infekciju.

Pored toga što predstavlja opasnost za krajnje korisnike, Mebromi zadaje glavobolju i programerima antivirusa koji razvijaju softverske proizvode za čišćenje kompjutera od otkrivenih zlonamernih programa, pri čemu sistem koji se čisti mora da ostane neoštećen.

“Čuvanje zlonamernog koda unutar BIOS-a zapravo može postati više od problema za zaštitini softver, imajući u vidu činjenicu da čak i da antivirus detektuje i očisti MBR infekciju, ona će se ponovo vratiti pri sledećem podizanju sistema kada se maliciozni kod za BIOS još jednom prepiše preko MBR koda,” kaže Marko Djulijani iz Webroot-a. On smatra da posao uklanjanja zlonamernog koda iz BIOS-a trebalo prepustiti proizvođačiima matičnih ploča umesto proizvođačima antivirusa, jer je BIOS uskladišten na EEPROM (Electronically Erasable Programmable Read-Only-Memory) čipu pa bi izmene mogle učiniti kompjuter neupotrebljivim u priličnoj meri bez mogućnosti da to kasnije bude ispravljeno.

Otkriće malware-a koji menja BIOS je jedno od nekoliko u dosadašnjoj istoriji koje su istraživači dokumentovali. Krajem devedesetih, malware poznat kao CIH/Chernobyl koji je u svoje vreme zarazio veliki broj računara ponašao se na sličan način na računarima sa Windows 9x koristeći “privilege escalation” bag u Microsoft-ovim operativnim sistemima. IceLord, proof-of-concept program iz 2007. godine takođe je modifikovao BIOS na zaraženim računarima, ali nije bilo dokaza da se ikada zaista koristio u napadima.

Mebromi za sada pogađa uglavnom kineske korisnike i Award BIOS koji razvija Phoenix Technologies. Poto se nađe na računaru Mebromi najpre proverava BIOS koji kompjuter koristi. Ukoliko je to Award BIOS, Mebromi ga inficira tako da svaki put prilikom restartovanja sistema može zaraziti sistem iznova ukoliko je to potrebno. Čak i ukoliko zaraženi raćunar ne koristi Award BIOS, Mebromi i dalje predstavlja opasnost jer jednostavno preskače prvi korak u infekciji i napada direktno MBR.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje