Mebromi, il malware che infetta il BIOS

Mebromi, il malware che infetta il BIOS

Mebromi è un nuovo malware in grado di inserire codice nel BIOS al fine di garantire il proprio funzionamento, anche nel caso in cui venga sostituito l'hard disk del PC

di Fabio Boneschi pubblicata il , alle 16:46 nel canale Sicurezza
 

Il malware ha una natura polimorfica per definizione: chi sviluppa codice malevolo lo fa cercando sempre nuove soluzioni di difficile individuazione e, sempre più spesso, con lo scopo di trarre benefici economici. Una delle forme più pericolose di malware è costituita dai rootkit, componenti in grado di insidiare l' MBR di sistema e rendere inefficaci i più diffusi tool antivirus.

Nei giorni scorsi gli esperti di sicurezza hanno individuato un nuovo malware ancor più difficile da rimuovere dai sistemi. Il nome di questo codice malevolo è Mebromi e come caratteristica principale ha la capacità di scrivere del codice direttamente nell'area di memoria in cui è allocato il BIOS. La peculiarità di Mebromi è già stata sfruttata da altri malware anni fa ma in passato si trattava di azioni distruttive sul BIOS stesso, ben diverso dallo scenario attuale.

Dalle informazioni al momento disponibili Mebromi è in grado di aggiungere del codice nell'area di memoria utilizzata per la memorizzazione del BIOS, poi avvia una procedura attraverso la quale sul PC viene installato un rootkit. Viene quindi modificato anche l' MBR con tutte le potenziali conseguenze. Il malware in questo modo si crea un ambiente nel quale operare pur rimandendo difficilmente individuabile dalle comuni suite di sicurezza.

Nel caso in cui anche il componente rootkit venga individuato e rimosso la parte di codice presente a livello di BIOS e eseguita a ogni boot del PC è in grado di ri-infettare il sistema. Stando a quanto riportato in questa analisi condotta da Webroot, al momento Mebromi non ha una payload preoccupante e, soprattutto, per diventare una vera minaccia necessita dei privilegi di amministrazione sul PC. Inoltre, la compatibilità con la moltitudine di BIOS e di hardware in circolazione potrebbe essere un ulteriore ostacolo a questo genere di codici malevoli.

Mebromi pone però nuovi problemi agli esperti di sicurezza: una soluzione veramente efficace potrebbe venire agendo a bassissimo livello da parte dei produttori di hardware.

23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Tauron15 Settembre 2011, 17:08 #1
Ma a questo punto non basta flashare il bios? E comunque non avete detto come possiamo accorgerci di tale virus... XD
zanardi8415 Settembre 2011, 17:11 #2
L'update del bios da windows può costituire un veicolo per il malware, specie se il tool si connette direttamente ad internet per scaricare il file?
Perseverance15 Settembre 2011, 17:22 #3
Qui è scritta in modo un po' più dettagliato: http://www.ilsoftware.it/googlenews2.asp?ID=7766

Xò in alcuni bios c'è l'opzione "Enable Virus Warning" che impedisce la sovrascrittura del MBR e del Bios stesso. Questa notizia non mi suona nuova, era chiaro che prima o poi qualcuno l'avrebbe fatto. Se esistono gli aggiornamenti del bios da windows (vedi i portatili ad esempio) è logico aspettarsi che qualcuno s'inventerà un virus per poterci scrivere usando quei comandi.
frankie15 Settembre 2011, 18:09 #4
il miglior rimedio è comunque e SEMPRE essere un utente con pochi privilegi.

Apprezzo anche come W7 ha un utilizzo dinamico dell UAC che chiede quando serve l'account administrator.

MA

Sistemare il menù start è un incubo. Vabbè inserisco un po' di volte la pw
Sapo8415 Settembre 2011, 18:23 #5
Bah, non vorrei dirlo ma è da ben più di un lustro che esiste una soluzione al problema, e si chiama trusted computing.
Questo perché tra i compiti del modulo c'è anche quello di fornire il secure boot, se BIOS o MBR cambiano il boot viene considerato non sicuro e ipoteticamente il sistema operativo può rifiutarsi di bootare.

Però come al solito si è parlato di schedatura, il pc non è più tuo, scenari apocalittici alla Grande Fratello e alla fine in pochissimi hanno integrato il modulo TPM.
Ma vabbè, è ovvio che tra la spiegazione dei vantaggi evidenti e le pirlate da nerd quattordicenne la gente avrebbe dato retta alle seconde
SuperSandro15 Settembre 2011, 18:35 #6
Non capisco come mai ancora nessuno ha pensato di inserire un interruttore "fisico" (cioè con tanto di levetta) che consenta / impedisca di scrivere dati sul BIOS.

Per fare aggiornamenti del BIOS (che per fortuna non capitano tutti i giorni e dovrebbero essere appannaggio solo di persone che sanno usare almeno il cacciavite) bisognerebbe aprire il cabinet e spostare l'interruttore per fornire la corrente di scrittura.

Dopo l'update, riposizionarlo come prima.
Luca6915 Settembre 2011, 18:51 #7
Alcuni BIOS hanno questa funzione: per poter scrivere devi spostare un jumper sulla scheda madre o abilitare la funzine di scrittura nel bios stesso
Perseverance15 Settembre 2011, 19:36 #8
Originariamente inviato da: Luca69
abilitare la funzine di scrittura nel bios stesso


Appunto, il mio bios ce l'ha e anche il bios di altre 6 persone che conosco. I portatili invece mi pare siano carenti.

Cmq ripeto che era prevedibile. Se si apre la possibilità di scrivere nel bios da windows allora la frittata è fatta.

Pensate un attimo ad una cosa: i voltaggi dei componenti possono essere cambiati da windows ad esempio coi programmini di tuning; cosa impedisce ad un virus di fare altrettanto per farti bruciare il processore, la ram o la gpu ??
MiKeLezZ15 Settembre 2011, 20:30 #9
Dicono basti avere un s.o. a 64 bit... ce li ho su tutti i PC. Problema risolto.
LS198715 Settembre 2011, 21:44 #10
Originariamente inviato da: Sapo84
Bah, non vorrei dirlo ma è da ben più di un lustro che esiste una soluzione al problema, e si chiama trusted computing.
Questo perché tra i compiti del modulo c'è anche quello di fornire il secure boot, se BIOS o MBR cambiano il boot viene considerato non sicuro e ipoteticamente il sistema operativo può rifiutarsi di bootare.

Però come al solito si è parlato di schedatura, il pc non è più tuo, scenari apocalittici alla Grande Fratello e alla fine in pochissimi hanno integrato il modulo TPM.
Ma vabbè, è ovvio che tra la spiegazione dei vantaggi evidenti e le pirlate da nerd quattordicenne la gente avrebbe dato retta alle seconde


Il trusted computing dovrebbe essere utilizzato nei sistemi critici, in cui nessuno dovrebbe permettersi di smanettare.
La paura principale non riguarda il trusted computing, ma una sua implementazione: http://www.disinformazione.it/palladium.htm Palladium che faceva eseguire solo programmi firmati e quindi impediva addiritura di installare Linux (non so se con una macchina virtuale si poteva risolvere il problema, ma quali software di virtualizzazione sarebbero stati accettati?).
Nei PC con il TPM Linux è invece installabile, così come altri sistemi operativi.

Originariamente inviato da: Perseverance
Appunto, il mio bios ce l'ha e anche il bios di altre 6 persone che conosco. I portatili invece mi pare siano carenti.

Cmq ripeto che era prevedibile. Se si apre la possibilità di scrivere nel bios da windows allora la frittata è fatta.

Pensate un attimo ad una cosa: i voltaggi dei componenti possono essere cambiati da windows ad esempio coi programmini di tuning; cosa impedisce ad un virus di fare altrettanto per farti bruciare il processore, la ram o la gpu ??


Per quanto riguarda i voltaggi in effetti qualche rischio potrebbe esserci, bloccando la possibilità di aumentare i voltaggi, anche un overclock tremendo non è problematico, dato che al limite si riavvia il PC, oppure se rimanesse per assurdo stabile, il PC si spegnerebbe andando in protezione (se però uno ha un pessimo alimentatore potrebbe avere problemi) se la temperatura si alzasse troppo (in tal caso complimenti: CPU fortunata e con un buon impianto a liquido sarebbe stabile senza problemi).
Comunque questo scenario è improbabile se sei un home user comune, può capitare solo se hai un Server con servizi critici (ad esempio gestione di database o siti di grandi aziende, oppure di governi/ministeri): di solito i malware puntano a diffondersi e se non sei un obiettivo strategico non hanno interesse a distruggere un PC.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^