Mebromi, il malware che infetta il BIOS

Mebromi è un nuovo malware in grado di inserire codice nel BIOS al fine di garantire il proprio funzionamento, anche nel caso in cui venga sostituito l'hard disk del PC
di Fabio Boneschi pubblicata il 15 Settembre 2011, alle 16:46 nel canale SicurezzaIl malware ha una natura polimorfica per definizione: chi sviluppa codice malevolo lo fa cercando sempre nuove soluzioni di difficile individuazione e, sempre più spesso, con lo scopo di trarre benefici economici. Una delle forme più pericolose di malware è costituita dai rootkit, componenti in grado di insidiare l' MBR di sistema e rendere inefficaci i più diffusi tool antivirus.
Nei giorni scorsi gli esperti di sicurezza hanno individuato un nuovo malware ancor più difficile da rimuovere dai sistemi. Il nome di questo codice malevolo è Mebromi e come caratteristica principale ha la capacità di scrivere del codice direttamente nell'area di memoria in cui è allocato il BIOS. La peculiarità di Mebromi è già stata sfruttata da altri malware anni fa ma in passato si trattava di azioni distruttive sul BIOS stesso, ben diverso dallo scenario attuale.
Dalle informazioni al momento disponibili Mebromi è in grado di aggiungere del codice nell'area di memoria utilizzata per la memorizzazione del BIOS, poi avvia una procedura attraverso la quale sul PC viene installato un rootkit. Viene quindi modificato anche l' MBR con tutte le potenziali conseguenze. Il malware in questo modo si crea un ambiente nel quale operare pur rimandendo difficilmente individuabile dalle comuni suite di sicurezza.
Nel caso in cui anche il componente rootkit venga individuato e rimosso la parte di codice presente a livello di BIOS e eseguita a ogni boot del PC è in grado di ri-infettare il sistema. Stando a quanto riportato in questa analisi condotta da Webroot, al momento Mebromi non ha una payload preoccupante e, soprattutto, per diventare una vera minaccia necessita dei privilegi di amministrazione sul PC. Inoltre, la compatibilità con la moltitudine di BIOS e di hardware in circolazione potrebbe essere un ulteriore ostacolo a questo genere di codici malevoli.
Mebromi pone però nuovi problemi agli esperti di sicurezza: una soluzione veramente efficace potrebbe venire agendo a bassissimo livello da parte dei produttori di hardware.
23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoXò in alcuni bios c'è l'opzione "Enable Virus Warning" che impedisce la sovrascrittura del MBR e del Bios stesso. Questa notizia non mi suona nuova, era chiaro che prima o poi qualcuno l'avrebbe fatto. Se esistono gli aggiornamenti del bios da windows (vedi i portatili ad esempio) è logico aspettarsi che qualcuno s'inventerà un virus per poterci scrivere usando quei comandi.
Apprezzo anche come W7 ha un utilizzo dinamico dell UAC che chiede quando serve l'account administrator.
MA
Sistemare il menù start è un incubo. Vabbè inserisco un po' di volte la pw
Questo perché tra i compiti del modulo c'è anche quello di fornire il secure boot, se BIOS o MBR cambiano il boot viene considerato non sicuro e ipoteticamente il sistema operativo può rifiutarsi di bootare.
Però come al solito si è parlato di schedatura, il pc non è più tuo, scenari apocalittici alla Grande Fratello e alla fine in pochissimi hanno integrato il modulo TPM.
Ma vabbè, è ovvio che tra la spiegazione dei vantaggi evidenti e le pirlate da nerd quattordicenne la gente avrebbe dato retta alle seconde
Per fare aggiornamenti del BIOS (che per fortuna non capitano tutti i giorni e dovrebbero essere appannaggio solo di persone che sanno usare almeno il cacciavite) bisognerebbe aprire il cabinet e spostare l'interruttore per fornire la corrente di scrittura.
Dopo l'update, riposizionarlo come prima.
Appunto, il mio bios ce l'ha e anche il bios di altre 6 persone che conosco. I portatili invece mi pare siano carenti.
Cmq ripeto che era prevedibile. Se si apre la possibilità di scrivere nel bios da windows allora la frittata è fatta.
Pensate un attimo ad una cosa: i voltaggi dei componenti possono essere cambiati da windows ad esempio coi programmini di tuning; cosa impedisce ad un virus di fare altrettanto per farti bruciare il processore, la ram o la gpu ??
Questo perché tra i compiti del modulo c'è anche quello di fornire il secure boot, se BIOS o MBR cambiano il boot viene considerato non sicuro e ipoteticamente il sistema operativo può rifiutarsi di bootare.
Però come al solito si è parlato di schedatura, il pc non è più tuo, scenari apocalittici alla Grande Fratello e alla fine in pochissimi hanno integrato il modulo TPM.
Ma vabbè, è ovvio che tra la spiegazione dei vantaggi evidenti e le pirlate da nerd quattordicenne la gente avrebbe dato retta alle seconde
Il trusted computing dovrebbe essere utilizzato nei sistemi critici, in cui nessuno dovrebbe permettersi di smanettare.
La paura principale non riguarda il trusted computing, ma una sua implementazione: http://www.disinformazione.it/palladium.htm Palladium che faceva eseguire solo programmi firmati e quindi impediva addiritura di installare Linux (non so se con una macchina virtuale si poteva risolvere il problema, ma quali software di virtualizzazione sarebbero stati accettati?).
Nei PC con il TPM Linux è invece installabile, così come altri sistemi operativi.
Cmq ripeto che era prevedibile. Se si apre la possibilità di scrivere nel bios da windows allora la frittata è fatta.
Pensate un attimo ad una cosa: i voltaggi dei componenti possono essere cambiati da windows ad esempio coi programmini di tuning; cosa impedisce ad un virus di fare altrettanto per farti bruciare il processore, la ram o la gpu ??
Per quanto riguarda i voltaggi in effetti qualche rischio potrebbe esserci, bloccando la possibilità di aumentare i voltaggi, anche un overclock tremendo non è problematico, dato che al limite si riavvia il PC, oppure se rimanesse per assurdo stabile, il PC si spegnerebbe andando in protezione (se però uno ha un pessimo alimentatore potrebbe avere problemi) se la temperatura si alzasse troppo (in tal caso complimenti: CPU fortunata e con un buon impianto a liquido sarebbe stabile senza problemi).
Comunque questo scenario è improbabile se sei un home user comune, può capitare solo se hai un Server con servizi critici (ad esempio gestione di database o siti di grandi aziende, oppure di governi/ministeri): di solito i malware puntano a diffondersi e se non sei un obiettivo strategico non hanno interesse a distruggere un PC.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".