L'idea di inserire del codice dannoso all'interno del BIOS(che fornisce una serie di funzioni di base per l'accesso all'hardware e alle periferiche integrate nella scheda madre da parte del sistema operativo)non è nuova.
Nel 1998, il virus Chernobyl aveva come peculiarità proprio quella di tentare la modifica del contenuto del BIOS: tale malware, tuttavia, aveva però soltanto un effetto distruttivo.
Il BIOS, infatti, veniva in quel caso completamente sovrascritto ed il computer non era così più in grado di avviarsi normalmente.
Diverso l'approccio utilizzato dalla minaccia da poco rilevata in Rete(simile al Malware IceLord del 2007).
"Mebromi", questo il nome del malware, una volta andato in esecuzione sul sistema dell'utente-vittima, provvede innanzi tutto a controllare che sul computer sia utilizzato un Award BIOS. In caso affermativo, ricorre al comando CBROM per "estendere" le funzionalità del BIOS agganciandovi delle routine maligne.
Non appena il personal computer verrà riavviato, il codice malevolo inserito all'interno del BIOS provvederà a modificare il contenuto del "Master Boot Record" (MBR) del disco fisso in modo tale da infettare alcuni processi necessari per il funzionamento di Windows 2000, Windows XP e Windows Server 2003.
Al successivo riavvio di Windows, il malware scaricherà un componente rootkit per prevenire il ripristino del corretto contenuto del master boot record da parte, ad esempio, di un software antivirus.
"Mebromi", però, sopravviverà anche se il disco fisso del sistema infetto venisse completamente ripulito attraverso l'eliminazione del rootkit, il ripristino dei file di Windows e del contenuto del MBR. Il malware, infatti, riesce a garantirsi una puntuale esecuzione ad ogni avvio del sistema proprio grazie al fatto di essersi insediato all'interno del BIOS.
Per lo stesso motivo, "Mebromi riuscirebbe a riattivarsi anche nel caso di sostituzione del disco fisso.
Non appena il personal computer verrà riavviato, il codice malevolo inserito all'interno del BIOS provvederà a modificare il contenuto del "Master Boot Record" (MBR) del disco fisso in modo tale da infettare alcuni processi necessari per il funzionamento di Windows 2000, Windows XP e Windows Server 2003.
Al successivo riavvio di Windows, il malware scaricherà un componente rootkit per prevenire il ripristino del corretto contenuto del master boot record da parte, ad esempio, di un software antivirus.
"Mebromi", però, sopravviverà anche se il disco fisso del sistema infetto venisse completamente ripulito attraverso l'eliminazione del rootkit, il ripristino dei file di Windows e del contenuto del MBR. Il malware, infatti, riesce a garantirsi una puntuale esecuzione ad ogni avvio del sistema proprio grazie al fatto di essersi insediato all'interno del BIOS.
Per lo stesso motivo, "Mebromi riuscirebbe a riattivarsi anche nel caso di sostituzione del disco fisso.
Nessun commento:
Posta un commento