Nos acompanhe - Assine o nosso feed e a nossa newsletter

Gostou da INFORESGATE? Nos Acompanhe - Assine o nosso FEED RSS ou a nossa newsletter! E fique sempre informado! :)

Assinar o feed

domingo, 18 de setembro de 2011

Novo Vírus sobrevive a formatação do HD

BIOS fica em chip na placa-mãe. Reformatar o HD e reinstalar o sistema não impede um vírus de BIOS de se reinstalar (Foto: Divulgação) 
BIOS fica em chip na placa-mãe. Reformatar o HD
e reinstalar o sistema não impede um vírus de
BIOS de se reinstalar (Foto: Divulgação)
 
A fabricante chinesa de antivírus 360 detectou uma nova praga digital capaz de infectar o software no chip de BIOS (Sistema Básico de Entrada e Saída) de algumas placas-mães, conseguindo com “sobreviver” quando todos os dados do disco rígido forem eliminados em uma formatação ou reinstalação do sistema.

O software de BIOS é o primeiro código executado quando um computador é ligado. Ele realiza as primeiras configurações do hardware, bem como configura o relógio do sistema, iniciando e dando acesso aos discos rígidos, drives de CD e outros periféricos, incluindo teclado e mouse.

O vírus é composto de três partes: a primeira infecta o chip de BIOS; a segunda altera o Registro Mestre de Inicialização (MBR) e uma terceira é incluída em arquivos de sistema do Windows. Caso uma delas não seja removida, a infeção inteira é capaz de se reestabelecer.

Como o software de BIOS difere bastante de uma placa-mãe para outra, o vírus, batizado de Mebromi, é apenas capaz de infectar placas que usam a Award BIOS. A praga usa a ferramenta conhecida como CBRom, que realiza modificações em BIOS da Phoenix-Award. O vírus também só funciona em Windows 2000, XP e 2003.

A primeira demonstração pública de um ataque envolvendo a alteração de um chip de BIOS foi realizada em 2009 por uma dupla de pesquisadores argentinos.
Em 2010, chips infectados foram encontrados em placas de servidores da Dell, sendo o único caso concreto, confirmado e público por um vírus de BIOS.

Conhecido como Mebromi, o rootkit foi detectado pela primeira vez por uma empresa de segurança chinesa, enquanto estava direcionada aos usuários em "estado selvagem". Depois disso, outros pesquisadores conseguiram colocar suas mãos sobre o malware e realizar uma análise mais aprofundada sobre o seu comportamento.

 
Rootkit Entrando em Atividade

De acordo com a Webroot, o pacote malicioso contém um rootkit BIOS, um rootkitMBR, um rootkit em modo kernel, um PE file infector e um downloader trojan. Uma vez baixado em um computador, o malwareverifica a BIOS utilizada; se for Award BIOS - utilizadas por placas-mãe desenvolvidas pela Phoenix Technologies, a praga enfiltra-se sobre ele para que, cada vez que o sistema seja reiniciado, ele possa infectá-lo novamente se for necessário.

Dessa maneira, ele adiciona o código para o disco rígido do Master Boot Record (MBR), a fim de infectar owinlogon.exe (Windows XP/2003) ou processo winnt.exe (Windows 2000), que será usado para baixar um arquivo adicional e executá-lo. É mais um rootkit, e este tem por objetivo prevenir o código MBR a ser limpo e restaurado, através de uma solução de AV.

 
Análise Realizada Sobre o Rootkit

Segundo Marco Giuliani, especialista em segurança da Webroot, há uma grande especulação de que, a razão pela qual Mebromi alveja apenas ROM Award BIOS, é devido ao fato dele ter sido modelado após o rootkit IceLord, um PoC que veio à público em 2007 e fez a mesma coisa. Para tornar Mebromi uma grande ameaça, seus criadores devem trabalhar muito a fim de torná-lo totalmente compatível com todas as grandes BIOS ROM que existem lá fora. Isso é considerado uma tarefa dificílima.


Armazenar o código malicioso dentro do ROM BIOS pode, realmente, tornar-se mais do que apenas um problema para o software de segurança, devido ao fato de que, mesmo que um antivírus detecte e solucione o problema de infecção MBR, ele será restaurado na próxima inicialização do sistema quando a carga maliciosa da BIOS, transcrever o código MBR novamente.

Trabalhar na projeção de um utilitário antivírus, que tenha a capacidade de limpar o código da BIOS é um enorme desafio, porque ele precisa ser totalmente à prova de erros. O processo de manipulação com tais códigos específicos do sistema, deve ser deixado para os desenvolvedores que trabalham em um determinado modelo de placa-mãe , que libera atualizações de BIOS, junto com ferramentas direcionadas para a atualização do seu código.

Fonte: G1, Under-Linux

Abraços,

Ricardo Aguero

Um comentário:

  1. Olá, gostaria de comentar aqui a possibilidade de o Mebroni já estar desde o início do ano infectando máquinas com o Vista e W7. Meu irmão tá com problemas com seu note book, e este já está desde janeiro sem se conectar á internet! Todas as características do vírus, descritas conferem com os problemas que ele está tendo!

    ResponderExcluir

Related Posts Plugin for WordPress, Blogger...

Info Resgate Headline Animator