В сети обнаружен очередной руткит для BIOS

image

Теги: руткит, McAfee, BIOS

Новый руткит для BIOS был разработан по примеру ранее обнаруженной вредоносной программы Mebromi, которая была нацелена на пользователей Award BIOS.

Представители компании McAfee обнаружили руткит, который поражает BIOS. Руткит получил название Niwa!mem и изначально инфицировал главную загрузочную запись (Master Boot Record, MBR).

«Вредоносная программа перезаписывает MBR в сектор 0, а потом записывает файл «the downloader», который загружается в скрытые секторы. DLL копирует себя в папку корзины, и удаляется. «the downloader» запускается каждый раз при запуске системы», - заявляют исследователи.

«Все загруженные компоненты будут присутствовать в DLL, включая утилиту cbrom.exe от производителя BIOS, которую вредоносная программа использует для прошивки BIOS», - отмечается в отчете McAfee.

Эксперты отмечают, что новый руткит для BIOS был разработан по примеру ранее обнаруженной вредоносной программы Mebromi, которая была нацелена на пользователей Award BIOS, присутствующих в материнских платах компании Phoenix Technologies.

«Мы уже зафиксировали две вредоносные программы, нацеленные на BIOS…Когда первая из них была обнаружена, мы не знали через сколько времени появится вторая. Теперь мы должны ожидать столкновения с новыми (ред. – руткитами) в ближайшее время», - заявили исследователи, отметив, что создать средства безопасности и очистки от BIOS-руткита будет сложно для софтверных компаний.

Эксперты отмечают, что антивирусное решение должно быть разработано без малейших ошибок для того, чтобы избежать случаев, когда система вообще не будет загружаться. Разработкой специфического антивирусного решения должны заниматься специалисты, которые создали конкретную модель материнской платы, выпускают обновления для BIOS, а также специальные инструменты для обновления кода BIOS.

С отчетом McAfee можно ознакомиться здесь.


или введите имя

CAPTCHA
axl
09-06-2012 17:55:55
"We have seen many discussions of the MyBios “Bioskit” discovered at the end of 2011." Не уверен насчет новизны =)
0 |
CyberMorg
09-06-2012 23:36:04
Забыли про древний вирус под названием Чих? Он много системных плат положил.. И поражал не только Award BIOS..
0 |
MOV PC,0
10-06-2012 15:27:30
Чернобыль портил BIOS, а этот - заражает
0 |
68374
10-06-2012 09:14:57
А что, всякие Dual BIOS или как там, не помогут?
0 |
rm -rf / home/user/trash
10-06-2012 15:24:40
Помогут, если "2й BIOS" содержится в ROMe, или запись туда средствами винды невозможна. В противном случае это поможет только если вирус не умеет с такими BIOSами работать.
0 |
=^_^=
19-06-2012 01:26:22
Да, поможет, если одна микросхемко у тя торчит в гнезде на мамке, а вторая лежит на полочке.
0 |
14-06-2012 16:55:41
Реально и для любой ОС если исполняемая копия фирмваре аппаратно не защищена от записи и при запуске ЭВМ копируется в ОЗУ возможны проблемы. Старо как мир и решение задачи было найдено ещё для мэйнфреймов Simens 4004 (предшественников IBM S/360) - при запуске ЭВМ фирмваре исполняется из ПЗУ (ROM) и не содержит динамически модифицируемых фрагментов кода и данных, а результаты выполнения стартовых тестов оборудования сравниваются с таблицей образцов так же хранящейся в ПЗУ. Просто сейчас об этой проблеме полувековой давности снова вспомнили. Нормально - в технике такое часто встречается при переносе технических решений в новую для них среду.
0 |