Mebromi: Malware skriven u BIOS-u

Opisi virusa, 16.09.2011, 11:15 AM

Mebromi: Malware skriven u BIOS-u

Istraživači kompanije Webroot identifikovali su novi malware koji menja softver na matičnoj ploči zaraženog računara zbog čega je uklanjanje infekcije veoma teško. To je prvi malware čija je meta BIOS. Malware nosi naziv Mebromi i mešavina je nekoliko malicioznih komponenti: BIOS rootikt-a koji pogađa Award BIOS, MBR rootkit-a, kernel mod rootkit-a, PE fajl infektora i Trojanca downloader-a.

Mebromi u ovom trenutku ne pogađa 64-bitni operativni sistem a nije u stanju ni da uzrokuje infekciju sistema sa ograničenim privilegijama.

Rootkit Mebromi menja BIOS napadnutog računara i daje instrukcije koje se izvršavaju na samom početku procesa podizanja sistema. Ove instrukcije menjaju MBR (Master Boot Record), koji se takođe pokreće pre učitavanja operativnog sistema zaraženog računara. Remeteći procese koji se odvijaju odmah pošto se kompjuter uključi, Mebromi ima veće šanse da preživi pokušaje antivirusnog softvera instaliranog na računaru da ukloni infekciju.

Pored toga što predstavlja opasnost za krajnje korisnike, Mebromi zadaje glavobolju i programerima antivirusa koji razvijaju softverske proizvode za čišćenje kompjutera od otkrivenih zlonamernih programa, pri čemu sistem koji se čisti mora da ostane neoštećen.

“Čuvanje zlonamernog koda unutar BIOS-a zapravo može postati više od problema za zaštitini softver, imajući u vidu činjenicu da čak i da antivirus detektuje i očisti MBR infekciju, ona će se ponovo vratiti pri sledećem podizanju sistema kada se maliciozni kod za BIOS još jednom prepiše preko MBR koda,” kaže Marko Djulijani iz Webroot-a. On smatra da posao uklanjanja zlonamernog koda iz BIOS-a trebalo prepustiti proizvođačiima matičnih ploča umesto proizvođačima antivirusa, jer je BIOS uskladišten na EEPROM (Electronically Erasable Programmable Read-Only-Memory) čipu pa bi izmene mogle učiniti kompjuter neupotrebljivim u priličnoj meri bez mogućnosti da to kasnije bude ispravljeno.

Otkriće malware-a koji menja BIOS je jedno od nekoliko u dosadašnjoj istoriji koje su istraživači dokumentovali. Krajem devedesetih, malware poznat kao CIH/Chernobyl koji je u svoje vreme zarazio veliki broj računara ponašao se na sličan način na računarima sa Windows 9x koristeći “privilege escalation” bag u Microsoft-ovim operativnim sistemima. IceLord, proof-of-concept program iz 2007. godine takođe je modifikovao BIOS na zaraženim računarima, ali nije bilo dokaza da se ikada zaista koristio u napadima.

Mebromi za sada pogađa uglavnom kineske korisnike i Award BIOS koji razvija Phoenix Technologies. Poto se nađe na računaru Mebromi najpre proverava BIOS koji kompjuter koristi. Ukoliko je to Award BIOS, Mebromi ga inficira tako da svaki put prilikom restartovanja sistema može zaraziti sistem iznova ukoliko je to potrebno. Čak i ukoliko zaraženi raćunar ne koristi Award BIOS, Mebromi i dalje predstavlja opasnost jer jednostavno preskače prvi korak u infekciji i napada direktno MBR.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje