BIOS módosító trójait találtak

2011. szeptember 14. 10:20 - Csizmazia Darab István [Rambo]

A kártevő módosított kódot telepít az alaplapi BIOS-ba, és olyan utasításokat fűz hozzá, amelyek még a számítógép Boot Up Sequence folyamat alatt hajtódnak végre. A Trojan.Mebrominak nevezett rootkit a Phoenix Technologies által gyártott Award BIOS-okat támadja, és igencsak nehezen lehet tőle megszabadulni.

A BIOS-t támadó kártevők általában nagyon ritkák. Idősebbek és katonaviseltek még emlékezhetnek a múltszázadi CIH vírusra, az első jelentések róla 1998 elejéről származnak, az idők során pedig jó néhány változata született. Különlegessége, hogy a Pentium processzorral rendelkező számítógépekben olyan hibát volt képes okozni, amely a hardver javítása nélkül nem orvosolható: a gép elindulásához szükséges BIOS PROM-ot tette tönkre felülírással. A legismertebb és legelterjedtebb verzió minden év április 26-án aktivizálódott. Ez a változat azonban csak 1998 közepén terjedt el szélesebb körben, így az első valódi aktivizálódási dátuma 1999. április 26-a lett. Még itthon is adtak ki számítástechnikai laphoz olyan havi CD-mellékletet, amely véletlenül ezzel a vírussal volt fertőzött. A kártevő a nevét a tajvani illetőségű készítőjéről, a kezdőbetűk alapján Chen Ing-Hauról kapta.

Ez a mostani Mebromi azonban ennél fejlettebb, és a korai rendszerindítási szakaszban a BIOS módosításával operál. A Master Boot Rekord (MBR) átírásával még az operációs rendszer betöltése előtt képes fertőzni, ezzel pedig a Windows XP, 2003, Vista és Windows7 rendszerek kerülhetnek veszélybe. A fertőzött BIOS minden esetben betölt egy hook.com nevű fájlt, amely azt ellenőrzi, vajon fertőzött-e az MBR, és szükség esetén újrafertőzi azt.

A mellékelt képen az is jól látszik, hogy a kereskedelmi forgalomban lévő antivírusok többsége szerencsére már képes detektálni, ám érdekes módon éppen a Microsoft programja nem észleli.

Bár a hírek szerint Mebromi-t ugyan valós környezetben találták (In The Wild), de egyelőre csak Kínából jelentettek ilyen fertőzéseket. Ám a mentesítéssel kapcsolatos lecke mindenesetre fel van adva az antivírus fejlesztőknek, ugyanis ennek nehézségét nyilván fokozza, hogy nem egyszerű olyan univerzális BIOS ellenőrző/mentesítő/helyreállító utilityt írni, amely annyira bombabiztos, hogy a helyreállítással nem okoz bajt, és garantáltan minden egyes gépen működik. Azt viszont mindenképpen érdemes megemlíteni, hogy elméletileg nemcsak az alaplapi BIOS lehet ilyen célpont, hanem minden olyan eszköz, amelynek a firmware-jét támadni lehet, ez lehet például akár egy router is.

5 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

cworm 2011.09.14. 10:53:12

A képen is látszik:
"There is a more up-to-date report (36/43) for this file." És ott már az MS is ismeri.:)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.09.14. 11:05:13

Hűh, jogos az észrevétel, köszi. Szóval az újabb, 2011.09.14.-es VT riport szerint már az MS is észreveszi.

Köszi Cworm :-)

Mihics Zoltán (Med1on) 2011.09.15. 00:32:48

A cikk egy részlete - természetesen a forrás megjelölésével - felhasználható más weboldalon?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.09.15. 08:26:17

Szia Med1on!

Üdv a blogon. Természetesen a forrás feltüntetéssel mehet bátran.
süti beállítások módosítása