13577 Letture

Si chiama Mebromi il malware che infetta il BIOS

Una società cinese produttrice di soluzioni antivirus ha comunicato di aver individuato un nuovo malware, da poco apparso sulla scena internazionale, che sarebbe in grado di infettare il BIOS del personal computer garantendosi la possibilità, da un lato, di avviarsi ad ogni accensione del sistema e dall'altro di passare inosservato all'azione dei principali software per la sicurezza.

L'idea di inserire del codice dannoso all'interno del BIOS (insieme di routine software, generalmente scritte su ROM, FLASH od altra memoria non volatile, che fornisce una serie di funzioni di base per l'accesso all'hardware e alle periferiche integrate nella scheda madre da parte del sistema operativo) non è nuova. Nel 1998, il virus CIH aveva come peculiarità proprio quella di tentare la modifica del contenuto del BIOS: tale malware, tuttavia, aveva però soltanto un effetto distruttivo. Il BIOS, infatti, veniva in quel caso completamente sovrascritto ed il computer non era così più in grado di avviarsi normalmente.


Diverso l'approccio utilizzato dalla minaccia da poco rilevata in Rete. "Mebromi", questo il nome del malware, una volta andato in esecuzione sul sistema dell'utente-vittima, provvede innanzi tutto a controllare che sul computer sia utilizzato un Award BIOS. In caso affermativo, ricorre al comando CBROM per "estendere" le funzionalità del BIOS agganciandovi delle routine maligne.
Non appena il personal computer verrà riavviato, il codice malevolo inserito all'interno del BIOS provvederà a modificare il contenuto del "Master Boot Record" (MBR) del disco fisso in modo tale da infettare alcuni processi necessari per il funzionamento di Windows 2000, Windows XP e Windows Server 2003.

Al successivo riavvio di Windows, il malware scaricherà un componente rootkit per prevenire il ripristino del corretto contenuto del master boot record da parte, ad esempio, di un software antivirus.


"Mebromi", però, sopravviverà anche se il disco fisso del sistema infetto venisse completamente ripulito attraverso l'eliminazione del rootkit, il ripristino dei file di Windows e del contenuto del MBR. Il malware, infatti, riesce a garantirsi una puntuale esecuzione ad ogni avvio del sistema proprio grazie al fatto di essersi insediato all'interno del BIOS. Per lo stesso motivo, "Mebromi riuscirebbe a riattivarsi anche nel caso di sostituzione del disco fisso.

Marco Giuliani, Threat Research Analyst di Webroot, afferma di essere già in possesso di un campione del malware. Al momento "Mebromi" non sarebbe in grado di infettare i sistemi a 64 bit né di compiere alcuna "nefandezza" da account utente non dotati dei diritti amministrativi. Per guadagnare l'accesso al BIOS, spiega Giuliani, "Mebromi" deve essere eseguito in modalità kernel in modo che possa essere così in grado di gestire la memoria fisica piuttosto che quella virtuale.
Senza andare a scomodare il virus CIH/Chernobyl del 1998, Giuliani ricorda che anche nel 2007 il rootkit IceLord aveva presentato un approccio, per l'infezione del BIOS, che ricorda estremamente da vicino quello impiegato dagli autori di "Mebromi".
"Lo sviluppo di un software antivirus in grado di esaminare il contenuto del BIOS ed eventualmente ripulirlo è una scommessa", aggiunge l'esperto. "Un prodotto in grado di compiere un intervento del genere, dovrebbe essere sicuro di operare senza la benché minima possibilità d'errore. Diversamente, rischierebbe di rendere il personal computer dell'utente assolutamente inavviabile". Giuliani ritiene che il problema debba essere seriamente trattato, invece, dai produttori delle schede madri.
Il ricercatore di Webroot (ved. anche quest'intervento) ritiene comunque che una minaccia come "Mebromi" possa difficilmente diffondersi su larga scala: un rootkit capace di insediarsi sul BIOS dovrebbe essere "pienamente compatibile" con una vasta gamma di BIOS (Award, Phoenix, AMI,...). Gli autori dei malware, insomma, potrebbero non aver la necessità di spingersi così in avanti: malware come TDL, Rustock e ZeroAccess sono minacce, purtroppo, estremamente ricorrenti che non hanno avuto bisogno di arrivare a tanto.

  1. Avatar
    Lacio
    10/10/2011 10:39:09
    Io sono uno dei pochi "fortunati" :mrgreen: che ha beccato la bestiaccia! A nulla è valso cambiare HD, riflashare il bios etc etc , unica maniera di uscirne , fu quella di installare UBUNTU ! Ora solo nella fase bi boot, quando specifica il tipo di bios, vedo scritta la data ( che non è quella del vecchio mio ultimo bios e HAMMER 030608 etc etc Poi il sistema parte e va bene, almeno fino a quando non installo un pacchetto dove c'e' del DOS tipo wine o Virtualbox .La bestiaccia fu presa nel 2007/8 probabilmente da penna USB e naturalmente ha infettato le varie SD delle Videocamere,tutti gli HD,Penne USB, Dischetti floppy e tutto quello che si lascia scrivere.Peccato non siamo ancora in grado di flasshare un bios da UNIX e ripulirlo,ricordo cmq che se non installavo antivirus e roba varia,il SO girava abbastanza pur dando i privilegi di amministrazione a tutto sistema e a utente sconosciuto (?) Ma appena cercavo di "medicarlo" si difendeva con le unghie: Replicava cartelle,schermate blu,bombe a mano :evil: ......A parte tutto da un male è nato un bene....ora non tornerei MAi e poi MAI indietro da un MULO e veloce e performante Distro LINUX. Cari saluti .deb no .exe hihihihihihi :D
  2. Avatar
    Pasquale1
    14/09/2011 00:16:32
    Una buona dose di sicurezza non guasta mai: 1. Accedere con un utente senza diritti amministrativi; 2. Evitare di installare qualsiasi cosa di cui non si è davvero sicuri (suonerie, emoticon, sfondi e cianfrusaglie varie); 3. Tenere sempre aggiornato l'antivirus; 4. Installare gli aggiornamenti di Windows non appena sono disponibili; 5. Considerare la possibilità di utilizzare Linux; 6. Attivare la protezione del BIOS ed eventualmente inserire una password per modificarlo.
  3. Avatar
    MarcoMira
    13/09/2011 17:25:41
    Beh, la cosa migliore, dove possibile è abilitare da BIOS la protezione in scrittura ed una password di accesso! Dite sia sufficiente?
Si chiama Mebromi il malware che infetta il BIOS - IlSoftware.it