Individuato un nuoco codice maligno, Mebromi, che si avvia a ogni accensione e passa inosservato agli antivirus. Non funziona sui sistemi a 64 bit e nelle macchine senza diritti amministrativi.
Una società cinese produttrice di soluzioni antivirus ha comunicato di
aver individuato un nuovo malware, da poco apparso sulla scena internazionale,
che sarebbe in grado di infettare il BIOS del personal computer garantendosi la
possibilità, da un lato, di avviarsi ad ogni accensione del sistema e dall’altro
di passare inosservato all’azione dei principali software per la sicurezza.
L’idea di inserire del codice dannoso all’interno del BIOS (insieme di routine
software, generalmente scritte su ROM, FLASH od altra memoria non volatile,
che fornisce una serie di funzioni di base per l’accesso all’hardware e alle
periferiche integrate nella scheda madre da parte del sistema operativo) non
è nuova.
Nel 1998, il virus CIH aveva come peculiarità proprio quella di tentare
la modifica del contenuto del BIOS: tale malware, tuttavia, aveva però
soltanto un effetto distruttivo. Il BIOS, infatti, veniva in quel caso completamente
sovrascritto ed il computer non era così più in grado di avviarsi
normalmente.
Il comportamento di Mebromi
Diverso l’approccio utilizzato dalla minaccia da poco rilevata in Rete. “Mebromi”,
questo il nome del malware, una volta andato in esecuzione sul sistema dell’utente-vittima,
provvede innanzi tutto a controllare che sul computer sia utilizzato un Award
BIOS.
In caso affermativo, ricorre al comando CBROM per “estendere” le
funzionalità del BIOS agganciandovi delle routine maligne.
Non appena il personal computer verrà riavviato, il codice malevolo
inserito all’interno del BIOS provvederà a modificare il contenuto del
“Master Boot Record” (MBR) del disco fisso in modo tale da infettare
alcuni processi necessari per il funzionamento di Windows 2000, Windows XP e
Windows Server 2003.
Al successivo riavvio di Windows, il malware scaricherà un componente
rootkit per prevenire il ripristino del corretto contenuto del master boot record
da parte, ad esempio, di un software antivirus.
“Mebromi”, però, sopravviverà anche se il disco fisso
del sistema infetto venisse completamente ripulito attraverso l’eliminazione
del rootkit, il ripristino dei file di Windows e del contenuto del MBR.
Il malware, infatti, riesce a garantirsi una puntuale esecuzione ad ogni avvio
del sistema proprio grazie al fatto di essersi insediato all’interno del BIOS.
Per lo stesso motivo, “Mebromi riuscirebbe a riattivarsi anche nel caso
di sostituzione del disco fisso.
L’opinione degli esperti
Marco Giuliani, Threat Research Analyst di Webroot, afferma di essere già
in possesso di un campione del malware.
Al momento “Mebromi” non sarebbe in grado di infettare i sistemi
a 64 bit né di compiere alcuna “nefandezza” da account utente
non dotati dei diritti amministrativi. Per guadagnare l’accesso al BIOS, spiega
Giuliani, “Mebromi” deve essere eseguito in modalità kernel
in modo che possa essere così in grado di gestire la memoria fisica piuttosto
che quella virtuale.
Senza andare a scomodare il virus CIH/Chernobyl del 1998, Giuliani ricorda
che anche nel 2007 il rootkit IceLord aveva presentato un approccio, per l’infezione
del BIOS, che ricorda estremamente da vicino quello impiegato dagli autori di
“Mebromi”.
“Lo sviluppo di un software antivirus in grado di esaminare il contenuto
del BIOS ed eventualmente ripulirlo è una scommessa”, aggiunge l’esperto.
“Un prodotto in grado di compiere un intervento del genere, dovrebbe
essere sicuro di operare senza la benché minima possibilità d’errore.
Diversamente, rischierebbe di rendere il personal computer dell’utente assolutamente
inavviabile“.
Giuliani ritiene che il problema debba essere seriamente trattato, invece,
dai produttori delle schede madri.
Il ricercatore di Webroot ritiene
comunque che una minaccia come “Mebromi” possa difficilmente diffondersi
su larga scala: un rootkit capace di insediarsi sul BIOS dovrebbe essere “pienamente
compatibile” con una vasta gamma di BIOS (Award, Phoenix, AMI,…).
Gli autori dei malware, insomma, potrebbero non aver la necessità di
spingersi così in avanti: malware come TDL, Rustock e ZeroAccess sono
minacce, purtroppo, estremamente ricorrenti che non hanno avuto bisogno di arrivare
a tanto.
