Mebromi: Malware skriven u BIOS-u

Opisi virusa, 16.09.2011, 11:15 AM

Mebromi: Malware skriven u BIOS-u

Istraživači kompanije Webroot identifikovali su novi malware koji menja softver na matičnoj ploči zaraženog računara zbog čega je uklanjanje infekcije veoma teško. To je prvi malware čija je meta BIOS. Malware nosi naziv Mebromi i mešavina je nekoliko malicioznih komponenti: BIOS rootikt-a koji pogađa Award BIOS, MBR rootkit-a, kernel mod rootkit-a, PE fajl infektora i Trojanca downloader-a.

Mebromi u ovom trenutku ne pogađa 64-bitni operativni sistem a nije u stanju ni da uzrokuje infekciju sistema sa ograničenim privilegijama.

Rootkit Mebromi menja BIOS napadnutog računara i daje instrukcije koje se izvršavaju na samom početku procesa podizanja sistema. Ove instrukcije menjaju MBR (Master Boot Record), koji se takođe pokreće pre učitavanja operativnog sistema zaraženog računara. Remeteći procese koji se odvijaju odmah pošto se kompjuter uključi, Mebromi ima veće šanse da preživi pokušaje antivirusnog softvera instaliranog na računaru da ukloni infekciju.

Pored toga što predstavlja opasnost za krajnje korisnike, Mebromi zadaje glavobolju i programerima antivirusa koji razvijaju softverske proizvode za čišćenje kompjutera od otkrivenih zlonamernih programa, pri čemu sistem koji se čisti mora da ostane neoštećen.

“Čuvanje zlonamernog koda unutar BIOS-a zapravo može postati više od problema za zaštitini softver, imajući u vidu činjenicu da čak i da antivirus detektuje i očisti MBR infekciju, ona će se ponovo vratiti pri sledećem podizanju sistema kada se maliciozni kod za BIOS još jednom prepiše preko MBR koda,” kaže Marko Djulijani iz Webroot-a. On smatra da posao uklanjanja zlonamernog koda iz BIOS-a trebalo prepustiti proizvođačiima matičnih ploča umesto proizvođačima antivirusa, jer je BIOS uskladišten na EEPROM (Electronically Erasable Programmable Read-Only-Memory) čipu pa bi izmene mogle učiniti kompjuter neupotrebljivim u priličnoj meri bez mogućnosti da to kasnije bude ispravljeno.

Otkriće malware-a koji menja BIOS je jedno od nekoliko u dosadašnjoj istoriji koje su istraživači dokumentovali. Krajem devedesetih, malware poznat kao CIH/Chernobyl koji je u svoje vreme zarazio veliki broj računara ponašao se na sličan način na računarima sa Windows 9x koristeći “privilege escalation” bag u Microsoft-ovim operativnim sistemima. IceLord, proof-of-concept program iz 2007. godine takođe je modifikovao BIOS na zaraženim računarima, ali nije bilo dokaza da se ikada zaista koristio u napadima.

Mebromi za sada pogađa uglavnom kineske korisnike i Award BIOS koji razvija Phoenix Technologies. Poto se nađe na računaru Mebromi najpre proverava BIOS koji kompjuter koristi. Ukoliko je to Award BIOS, Mebromi ga inficira tako da svaki put prilikom restartovanja sistema može zaraziti sistem iznova ukoliko je to potrebno. Čak i ukoliko zaraženi raćunar ne koristi Award BIOS, Mebromi i dalje predstavlja opasnost jer jednostavno preskače prvi korak u infekciji i napada direktno MBR.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje