Otkriven novi BIOS rootkit: Niwa!mem

Opisi virusa, 11.06.2012, 11:32 AM

Otkriven novi BIOS rootkit: Niwa!mem

Prošle godine istraživači kineske kompanije Qihoo 360 otkrili su prvi rootkit čija je meta BIOS koji je sposoban da iznova i iznova inficira računare, čak i ako se hard disk fizički ukloni i zameni drugim. Rootkit nazvan Mebromi ili MyBios pogađa samo korisnike Award BIOS-a koji koriste matične ploče proizvođača Phoenix Technologies.

Sada su istraživači proizvođača antivirusa kompanije McAfee otkrili novi BIOS rootkit nazvan Niwa!mem koji je prvobitno inficirao MBR ali čija najnovija verzija inficira BIOS.

Malver prepisuje originalni MBR u sektoru 0 i postavlja svoj dodatni deo (downloader) u skriveni MBR sektor. DLL se kopira u Recycle folder a zatim se prividno se prividno briše. Downloader se postavlja i izvršava svaki put kada se sistem (Windows) startuje.

Sve ubačene komponente će biti prisutne u DLL, uključujući i fajl proizvođača BIOS-a cbrom.exe, koji malver koristi za flešovanje BIOS-a.

Award BIOS je i dalje meta, a iako ima nekih izmena u kodu malvera, ima i mnogo sličnosti u kodu zbog čega istraživači veruju da ista grupa koja je razvila Mebromi stoji i iza rootkit-a Niwa!mem.

S obzirom da su se dva BIOSkit malvera otrkivena jedan za drugim u relativno kratkom roku istraživači očekuju da treba očekivati i nove malvere ovog tipa u budućnosti. Infekciju MBR nije teško otkriti ni ukloniti, ali uklanjanje infekcije BIOS-a biće izazov za proizvođače antivirusa, smatraju stručnjaci.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje