السبت، 17 سبتمبر، 2011

خطر جديد:فيروسات تزرع نفسها في البيوس BIOS

ahmed muslim | 1:17 م | | | | | |


البيوس (BIOS) هو البرنامج الذي يقلع جهاز الكمبيوتر حين تضغط على زر الطاقة وهي الذي يتأكد من أن جميع مكونات الجهاز تعمل قبل أن يستمر إلى إقلاع نظام التشغيل، ومؤخراً إكتشف الباحثون فيروسات تقوم بزرع نفسها في هذا البرنامج.
الفيروس الجديد الذي أكتشف في شبكات الإنترنت الصينية أطلق عليه إسم Mebromi ويقوم هذا الفيروس حين يصيب الجهاز بزرع نفسه في ثلاثة أماكن هي نظام البيوس، والقرص الصلب ونظام التشغيل نفسه، وبالتالي يضمن أن يصاب جهازك حتى ولو قمت بمسح النظام او تغيير القرص الصلب كاملاً وذلك لأنه موجود على البيوس وقد يتطلب الأمر منك أن تقوم بإعادة تركيب نظام البيوس الخاصة باللوحة الأم وهو أمر معقد بالنسبة للمستخدم العادي.
Mebromi يستهدف حالياً اللوحات الأم التي تعمل على نظام بيوس من شركة Award ولكن ذلك لايعني أنه لن يصيب جهازك ففي حالة كان الفيروس غير متوافق مع البيوس فإن خطوة زراعة نفسه في البيوس لن تعمل ولكنه سيستمر في زراعة نفسه على القرص الصلب وفي قلب نواة النظام.
من أجل أن تكون هذه الفيروسات فعالة فإن عليها أن تكون متوافقة مع الكثير من اللوحات الأم وهو الأمر الذي سيتطلب الكثير من العمل من قبل الكثير من المخترقين ولكنه ليس مستحيلاً وعلى مصنعي أنظمة البيوس أن يقوموا ببناء أنظمتهم لتكون أكثر فعالية ومضادة لهذا النوع من الهجمات.

 

Called Mebromi, the rootkit was first detected by a Chinese security company while actively targeting users in the wild. Subsequently, other researchers have managed to get their hands on the malware and perform an analysis.

According to Webroot, the malicious package contains a BIOS rootkit, a MBR rootkit, a kernel mode rootkit, a PE file infector and a Trojan downloader.

Once it downloaded on a computer, the malware first checks which BIOS it uses. If it's Award BIOS - used by motherboards developed by Phoenix Technologies - it hooks itself on it so that every time the system is restarted it can infect it all over again if the need arises.

Once it's there, it proceeds to add code to the hard drive's master boot record (MBR) in order to infect the winlogon.exe (Windows XP/2003) or winnt.exe process (Windows 2000), which will be used to download an additional file and execute it. It is another rootkit, and this one aims at preventing the MBR code being cleaned and restored to normal by a AV solution.

Mebromi is currently targeting Chinese users, which is obvious by the security software it tries to find and block. And even if the victim's computer isn't using Award BIOS, the threat isn't thwarted - it simply omits the first step and goes directly for the MBR.

Webroot's Marco Giuliani speculates that the reason why Mebromi only targets Award BIOS ROM is because it has been modeled after the IceLord rootkit - a PoC that was made public in 2007 and did the same thing. To make Mebromi a major threat, its creators must make it fully compatible with all major BIOS ROM out there - and that is a difficult feat.

"Storing the malicious code inside the BIOS ROM could actually become more than just a problem for security software, giving the fact that even if an antivirus detect and clean the MBR infection, it will be restored at the next system startup when the malicious BIOS payload would overwrite the MBR code again," he also adds.

"Developing an antivirus utility able to clean the BIOS code is a challenge, because it needs to be totally error-proof, to avoid rendering the system unbootable at all. The job of handling with such specific system codes should be left to the developers of the specific motherboard model, who release BIOS updates along with specific tool to update the BIOS code." 



ليست هناك تعليقات:

إرسال تعليق

Twitter Delicious Facebook Digg Stumbleupon Favorites More

Search