Mebromi: Malware skriven u BIOS-u

Opisi virusa, 16.09.2011, 11:15 AM

Mebromi: Malware skriven u BIOS-u

Istraživači kompanije Webroot identifikovali su novi malware koji menja softver na matičnoj ploči zaraženog računara zbog čega je uklanjanje infekcije veoma teško. To je prvi malware čija je meta BIOS. Malware nosi naziv Mebromi i mešavina je nekoliko malicioznih komponenti: BIOS rootikt-a koji pogađa Award BIOS, MBR rootkit-a, kernel mod rootkit-a, PE fajl infektora i Trojanca downloader-a.

Mebromi u ovom trenutku ne pogađa 64-bitni operativni sistem a nije u stanju ni da uzrokuje infekciju sistema sa ograničenim privilegijama.

Rootkit Mebromi menja BIOS napadnutog računara i daje instrukcije koje se izvršavaju na samom početku procesa podizanja sistema. Ove instrukcije menjaju MBR (Master Boot Record), koji se takođe pokreće pre učitavanja operativnog sistema zaraženog računara. Remeteći procese koji se odvijaju odmah pošto se kompjuter uključi, Mebromi ima veće šanse da preživi pokušaje antivirusnog softvera instaliranog na računaru da ukloni infekciju.

Pored toga što predstavlja opasnost za krajnje korisnike, Mebromi zadaje glavobolju i programerima antivirusa koji razvijaju softverske proizvode za čišćenje kompjutera od otkrivenih zlonamernih programa, pri čemu sistem koji se čisti mora da ostane neoštećen.

“Čuvanje zlonamernog koda unutar BIOS-a zapravo može postati više od problema za zaštitini softver, imajući u vidu činjenicu da čak i da antivirus detektuje i očisti MBR infekciju, ona će se ponovo vratiti pri sledećem podizanju sistema kada se maliciozni kod za BIOS još jednom prepiše preko MBR koda,” kaže Marko Djulijani iz Webroot-a. On smatra da posao uklanjanja zlonamernog koda iz BIOS-a trebalo prepustiti proizvođačiima matičnih ploča umesto proizvođačima antivirusa, jer je BIOS uskladišten na EEPROM (Electronically Erasable Programmable Read-Only-Memory) čipu pa bi izmene mogle učiniti kompjuter neupotrebljivim u priličnoj meri bez mogućnosti da to kasnije bude ispravljeno.

Otkriće malware-a koji menja BIOS je jedno od nekoliko u dosadašnjoj istoriji koje su istraživači dokumentovali. Krajem devedesetih, malware poznat kao CIH/Chernobyl koji je u svoje vreme zarazio veliki broj računara ponašao se na sličan način na računarima sa Windows 9x koristeći “privilege escalation” bag u Microsoft-ovim operativnim sistemima. IceLord, proof-of-concept program iz 2007. godine takođe je modifikovao BIOS na zaraženim računarima, ali nije bilo dokaza da se ikada zaista koristio u napadima.

Mebromi za sada pogađa uglavnom kineske korisnike i Award BIOS koji razvija Phoenix Technologies. Poto se nađe na računaru Mebromi najpre proverava BIOS koji kompjuter koristi. Ukoliko je to Award BIOS, Mebromi ga inficira tako da svaki put prilikom restartovanja sistema može zaraziti sistem iznova ukoliko je to potrebno. Čak i ukoliko zaraženi raćunar ne koristi Award BIOS, Mebromi i dalje predstavlja opasnost jer jednostavno preskače prvi korak u infekciji i napada direktno MBR.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver koji krade kriptovalute sakriven u programu za instalaciju Tor pretraživača

Malver koji krade kriptovalute sakriven u programu za instalaciju Tor pretraživača

Trojanizovani programi za instalaciju anonimnog pretraživača Tor koriste se za infekciju uređaja korisnika pre svega u Rusiji i Evropi takozvanim c... Dalje

Novi malver MacStealer krade lozinke korisnika Appleovih računara

Novi malver MacStealer krade lozinke korisnika Appleovih računara

Novi malver za krađu informacija sa računara sa macOS operativnim sistemom, nazvan MacStealer, najnoviji je primer pretnje koja koristi Telegram kao... Dalje

Sa ChatGPT napravljen polimorfni malver

Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje