BIOS fica em chip na placa-mãe. Reformatar o HD
e reinstalar o sistema não impede um vírus de
BIOS de se reinstalar (Foto: Divulgação)
e reinstalar o sistema não impede um vírus de
BIOS de se reinstalar (Foto: Divulgação)
A fabricante chinesa de antivírus 360 detectou uma nova praga digital capaz de infectar o software no chip de BIOS
(Sistema Básico de Entrada e Saída) de algumas placas-mães, conseguindo
com “sobreviver” quando todos os dados do disco rígido forem eliminados
em uma formatação ou reinstalação do sistema.
O software de BIOS é o primeiro código executado quando um computador é
ligado. Ele realiza as primeiras configurações do hardware, bem como
configura o relógio do sistema, iniciando e dando acesso aos discos
rígidos, drives de CD e outros periféricos, incluindo teclado e mouse.
O vírus é composto de três partes: a primeira infecta o chip de BIOS; a
segunda altera o Registro Mestre de Inicialização (MBR) e uma terceira é
incluída em arquivos de sistema do Windows. Caso uma delas não seja
removida, a infeção inteira é capaz de se reestabelecer.
Como o software de BIOS difere bastante de uma placa-mãe para outra, o
vírus, batizado de Mebromi, é apenas capaz de infectar placas que usam a
Award BIOS. A praga usa a ferramenta conhecida como CBRom, que realiza
modificações em BIOS da Phoenix-Award. O vírus também só funciona em
Windows 2000, XP e 2003.
A primeira demonstração pública de um ataque envolvendo a alteração de um chip de BIOS foi realizada em 2009 por uma dupla de pesquisadores argentinos.
Em 2010, chips infectados foram encontrados em placas de servidores da Dell, sendo o único caso concreto, confirmado e público por um vírus de BIOS.
Conhecido como Mebromi, o rootkit foi detectado pela
primeira vez por uma empresa de segurança chinesa, enquanto estava
direcionada aos usuários em "estado selvagem". Depois disso, outros
pesquisadores conseguiram colocar suas mãos sobre o malware e realizar uma análise mais aprofundada sobre o seu comportamento.
Rootkit Entrando em Atividade
De acordo com a Webroot, o pacote malicioso contém um rootkit BIOS, um rootkitMBR, um rootkit em modo kernel, um PE file infector e um downloader trojan. Uma vez baixado em um computador, o malwareverifica a BIOS utilizada; se for Award BIOS - utilizadas por placas-mãe desenvolvidas pela Phoenix Technologies, a praga enfiltra-se sobre ele para que, cada vez que o sistema seja reiniciado, ele possa infectá-lo novamente se for necessário.
Dessa maneira, ele adiciona o código para o disco rígido do Master Boot Record (MBR), a fim de infectar owinlogon.exe (Windows XP/2003) ou processo winnt.exe (Windows 2000), que será usado para baixar um arquivo adicional e executá-lo. É mais um rootkit, e este tem por objetivo prevenir o código MBR a ser limpo e restaurado, através de uma solução de AV.
De acordo com a Webroot, o pacote malicioso contém um rootkit BIOS, um rootkitMBR, um rootkit em modo kernel, um PE file infector e um downloader trojan. Uma vez baixado em um computador, o malwareverifica a BIOS utilizada; se for Award BIOS - utilizadas por placas-mãe desenvolvidas pela Phoenix Technologies, a praga enfiltra-se sobre ele para que, cada vez que o sistema seja reiniciado, ele possa infectá-lo novamente se for necessário.
Dessa maneira, ele adiciona o código para o disco rígido do Master Boot Record (MBR), a fim de infectar owinlogon.exe (Windows XP/2003) ou processo winnt.exe (Windows 2000), que será usado para baixar um arquivo adicional e executá-lo. É mais um rootkit, e este tem por objetivo prevenir o código MBR a ser limpo e restaurado, através de uma solução de AV.
Análise Realizada Sobre o Rootkit
Segundo Marco Giuliani, especialista em segurança da Webroot, há uma grande especulação de que, a razão pela qual Mebromi alveja apenas ROM Award BIOS, é devido ao fato dele ter sido modelado após o rootkit IceLord, um PoC que veio à público em 2007 e fez a mesma coisa. Para tornar Mebromi uma grande ameaça, seus criadores devem trabalhar muito a fim de torná-lo totalmente compatível com todas as grandes BIOS ROM que existem lá fora. Isso é considerado uma tarefa dificílima.
Segundo Marco Giuliani, especialista em segurança da Webroot, há uma grande especulação de que, a razão pela qual Mebromi alveja apenas ROM Award BIOS, é devido ao fato dele ter sido modelado após o rootkit IceLord, um PoC que veio à público em 2007 e fez a mesma coisa. Para tornar Mebromi uma grande ameaça, seus criadores devem trabalhar muito a fim de torná-lo totalmente compatível com todas as grandes BIOS ROM que existem lá fora. Isso é considerado uma tarefa dificílima.
Armazenar o código malicioso dentro do ROM BIOS pode, realmente, tornar-se mais do que apenas um problema para o software de
segurança, devido ao fato de que, mesmo que um antivírus detecte e
solucione o problema de infecção MBR, ele será restaurado na próxima
inicialização do sistema quando a carga maliciosa da BIOS, transcrever o
código MBR novamente.
Trabalhar na projeção de um utilitário antivírus, que tenha a capacidade de limpar o código da BIOS é um enorme desafio, porque ele precisa ser totalmente à prova de erros. O processo de manipulação com tais códigos específicos do sistema, deve ser deixado para os desenvolvedores que trabalham em um determinado modelo de placa-mãe , que libera atualizações de BIOS, junto com ferramentas direcionadas para a atualização do seu código.
Trabalhar na projeção de um utilitário antivírus, que tenha a capacidade de limpar o código da BIOS é um enorme desafio, porque ele precisa ser totalmente à prova de erros. O processo de manipulação com tais códigos específicos do sistema, deve ser deixado para os desenvolvedores que trabalham em um determinado modelo de placa-mãe , que libera atualizações de BIOS, junto com ferramentas direcionadas para a atualização do seu código.
Fonte: G1, Under-Linux
Abraços,
Ricardo Aguero
