- Učlanjen(a)
- 07.02.2010
- Poruka
- 14.864
Mebromi: Malware skriven u BIOS-u
Istraživači kompanije Webroot identifikovali su novi malware koji menja softver na matičnoj ploči zaraženog računara zbog čega je uklanjanje infekcije veoma teško. To je prvi malware čija je meta BIOS. Malware nosi naziv Mebromi i mešavina je nekoliko malicioznih komponenti: BIOS rootikt-a koji pogađa Award BIOS, MBR rootkit-a, kernel mod rootkit-a, PE fajl infektora i Trojanca downloader-a.
Mebromi u ovom trenutku ne pogađa 64-bitni operativni sistem a nije u stanju ni da uzrokuje infekciju sistema sa ograničenim privilegijama.
Rootkit Mebromi menja BIOS napadnutog računara i daje instrukcije koje se izvršavaju na samom početku procesa podizanja sistema. Ove instrukcije menjaju MBR (Master Boot Record), koji se takođe pokreće pre učitavanja operativnog sistema zaraženog računara. Remeteći procese koji se odvijaju odmah pošto se kompjuter uključi, Mebromi ima veće šanse da preživi pokušaje antivirusnog softvera instaliranog na računaru da ukloni infekciju.
Pored toga što predstavlja opasnost za krajnje korisnike, Mebromi zadaje glavobolju i programerima antivirusa koji razvijaju softverske proizvode za čišćenje kompjutera od otkrivenih zlonamernih programa, pri čemu sistem koji se čisti mora da ostane neoštećen.
“Čuvanje zlonamernog koda unutar BIOS-a zapravo može postati više od problema za zaštitini softver, imajući u vidu činjenicu da čak i da antivirus detektuje i očisti MBR infekciju, ona će se ponovo vratiti pri sledećem podizanju sistema kada se maliciozni kod za BIOS još jednom prepiše preko MBR koda,” kaže Marko Djulijani iz Webroot-a. On smatra da posao uklanjanja zlonamernog koda iz BIOS-a trebalo prepustiti proizvođačiima matičnih ploča umesto proizvođačima antivirusa, jer je BIOS uskladišten na EEPROM (Electronically Erasable Programmable Read-Only-Memory) čipu pa bi izmene mogle učiniti kompjuter neupotrebljivim u priličnoj meri bez mogućnosti da to kasnije bude ispravljeno.
Otkriće malware-a koji menja BIOS je jedno od nekoliko u dosadašnjoj istoriji koje su istraživači dokumentovali. Krajem devedesetih, malware poznat kao CIH/Chernobyl koji je u svoje vreme zarazio veliki broj računara ponašao se na sličan način na računarima sa Windows 9x koristeći “privilege escalation” bag u Microsoft-ovim operativnim sistemima. IceLord, proof-of-concept program iz 2007. godine takođe je modifikovao BIOS na zaraženim računarima, ali nije bilo dokaza da se ikada zaista koristio u napadima.
Posto se nađe na računaru Mebromi najpre proverava BIOS koji kompjuter koristi. Ukoliko je to Award BIOS, Mebromi ga inficira tako da svaki put prilikom restartovanja sistema može zaraziti sistem iznova ukoliko je to potrebno. Čak i ukoliko zaraženi raćunar ne koristi Award BIOS, Mebromi i dalje predstavlja opasnost jer jednostavno preskače prvi korak u infekciji i napada direktno MBR.
Istraživači kompanije Webroot identifikovali su novi malware koji menja softver na matičnoj ploči zaraženog računara zbog čega je uklanjanje infekcije veoma teško. To je prvi malware čija je meta BIOS. Malware nosi naziv Mebromi i mešavina je nekoliko malicioznih komponenti: BIOS rootikt-a koji pogađa Award BIOS, MBR rootkit-a, kernel mod rootkit-a, PE fajl infektora i Trojanca downloader-a.
Mebromi u ovom trenutku ne pogađa 64-bitni operativni sistem a nije u stanju ni da uzrokuje infekciju sistema sa ograničenim privilegijama.
Rootkit Mebromi menja BIOS napadnutog računara i daje instrukcije koje se izvršavaju na samom početku procesa podizanja sistema. Ove instrukcije menjaju MBR (Master Boot Record), koji se takođe pokreće pre učitavanja operativnog sistema zaraženog računara. Remeteći procese koji se odvijaju odmah pošto se kompjuter uključi, Mebromi ima veće šanse da preživi pokušaje antivirusnog softvera instaliranog na računaru da ukloni infekciju.
Pored toga što predstavlja opasnost za krajnje korisnike, Mebromi zadaje glavobolju i programerima antivirusa koji razvijaju softverske proizvode za čišćenje kompjutera od otkrivenih zlonamernih programa, pri čemu sistem koji se čisti mora da ostane neoštećen.
“Čuvanje zlonamernog koda unutar BIOS-a zapravo može postati više od problema za zaštitini softver, imajući u vidu činjenicu da čak i da antivirus detektuje i očisti MBR infekciju, ona će se ponovo vratiti pri sledećem podizanju sistema kada se maliciozni kod za BIOS još jednom prepiše preko MBR koda,” kaže Marko Djulijani iz Webroot-a. On smatra da posao uklanjanja zlonamernog koda iz BIOS-a trebalo prepustiti proizvođačiima matičnih ploča umesto proizvođačima antivirusa, jer je BIOS uskladišten na EEPROM (Electronically Erasable Programmable Read-Only-Memory) čipu pa bi izmene mogle učiniti kompjuter neupotrebljivim u priličnoj meri bez mogućnosti da to kasnije bude ispravljeno.
Otkriće malware-a koji menja BIOS je jedno od nekoliko u dosadašnjoj istoriji koje su istraživači dokumentovali. Krajem devedesetih, malware poznat kao CIH/Chernobyl koji je u svoje vreme zarazio veliki broj računara ponašao se na sličan način na računarima sa Windows 9x koristeći “privilege escalation” bag u Microsoft-ovim operativnim sistemima. IceLord, proof-of-concept program iz 2007. godine takođe je modifikovao BIOS na zaraženim računarima, ali nije bilo dokaza da se ikada zaista koristio u napadima.
Posto se nađe na računaru Mebromi najpre proverava BIOS koji kompjuter koristi. Ukoliko je to Award BIOS, Mebromi ga inficira tako da svaki put prilikom restartovanja sistema može zaraziti sistem iznova ukoliko je to potrebno. Čak i ukoliko zaraženi raćunar ne koristi Award BIOS, Mebromi i dalje predstavlja opasnost jer jednostavno preskače prvi korak u infekciji i napada direktno MBR.