Descubierto un nuevo virus de BIOS: el MEBROMI
Especialistas en seguridad han descubierto recientemente un virus que llega en el BIOS, haciendo que sea muy difícil eliminarlo utilizando las soluciones antivirus comerciales actuales.
El virus llamado Mebromi parece tener como blanco a los usuarios chinos, especialmente los propietarios de BIOS AMI, AWARD o PHOENIX, pero esto no significa que el resto del mundo está a salvo, ya que esto podría representar un abridor de puerta para los hackers que quieren asegurarse de que nuestros equipos permanecen bajo su control.
Una descripción completa de la manera en que Mebromi funciona fue publicada en Webroot Threat Blog, dándonos una visión sobre cómo llega este elemento malintencionado en el núcleo de un equipo.
El rootkit de BIOS, un rootkit MBR, un rootkit de modo kernel, un inyector de archivo PE y un troyano de descarga son los elementos encapsulados en este malware potencialmente destructivo, que por el momento no es capaz de causar daños a equipos que ejecutan sistemas operativos de 64 bits si los privilegios de usuario son limitados.
Todo comienza con unos cuantos archivos que intentan acceder al kernel con el fin de cargar el controlador de kernel del virus que generará más tarde la parte más grave de la infección.
Después de infectar el BIOS exitosamente usando un archivo llamado Cbrom.exe, que es una herramienta legítima desarrollada por Phoenix Technologies diseñada para modificar archivos binarios ROM del sistema Award/Phoenix, sigue adelante infectando el registro master boot record del dispositivo.
Los archivos winlogon.exe o wininit.exe también están dañados e inyectados con códigos que generarán la descarga de infecciones adicionales.
“Almacenar el código malicioso dentro de la ROM del BIOS podría convertirse realmente en algo más que un problema de software de seguridad, habida cuenta de que incluso si un antivirus detecta y limpia la infección MBR, se restablecerá con el siguiente inicio del sistema cuando la carga malintencionada de BIOS sobrescribirá el código MBR nuevamente”, dijo un investigador de Webroot.
“Desarrollar una utilidad antivirus capaz de limpiar el código del BIOS es un desafío, porque debe carecer totalmente de errores, para evitar que no deje al sistema iniciarse en absoluto. El trabajo de manejar esos códigos específicos de sistema debe ser dejado en cargo de los desarrolladores del modelo específico de placa base, que publicarán actualizaciones de BIOS junto con herramientas específicas para actualizar el código de BIOS”, reveló a continuación.
Parece que estos tipos de amenazas deben presentar un poco de preocupación, pero la realidad es que es una tarea difícil para un hacker desarrollar un programa malintencionado que podría afectar a todos los tipos de equipos. Así que, por ahora, debemos preocuparnos más por los peligros actuales que se esconden detrás de nuestro cada clic, en un intento de ganar el control de nuestros equipos.
Como curiosidad destacar que Membromi no esta diseñado para infectar sistemas de 64 bits ni tampoco aquello que funcionar con privilegios limitados.
La infección comienza con 5 archivos encriptados con estos nombres:T hook.rom, flash.dll, cbrom.exe , my.sys, bios.sys.
En este analisis de VirusTotal puede verse el nivel de deteccion actual de uno de los ficheros integrantes:
File name: bb5511a6586ba04335712e6c65e83671
Submission date: 2011-09-12 14:07:38 (UTC)
Current status: finished
Result: 36 /44 (81.8%)
VT Community
malware
Safety score: 0.0%
Compact Print results
There is a more up-to-date report (38/44) for this file.
Antivirus Version Last Update Result
AhnLab-V3 2011.09.12.00 2011.09.12 Win-Trojan/Mybios.130048
AntiVir 7.11.14.176 2011.09.12 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.09.12 Trojan/Win32.Mybios.gen
Avast 4.8.1351.0 2011.09.12 –
Avast5 5.0.677.0 2011.09.12 Win32:SuspBehav-C [Heur]
AVG 10.0.0.1190 2011.09.12 Dropper.Generic4.SZO
BitDefender 7.2 2011.09.12 Trojan.Generic.KDV.328903
ByteHero 1.0.0.1 2011.09.01 Trojan.Win32.Heur.Gen
CAT-QuickHeal None 2011.09.12 –
ClamAV 0.97.0.0 2011.09.12 Trojan.MyBios
Commtouch 5.3.2.6 2011.09.12 –
Comodo 10085 2011.09.12 Heur.Suspicious
DrWeb 5.0.2.03300 2011.09.12 Trojan.Bioskit.1
Emsisoft 5.1.0.11 2011.09.12 Trojan-Dropper!IK
eSafe 7.0.17.0 2011.09.11 Win32.TRDropper
eTrust-Vet 36.1.8550 2011.09.10 Win32/Rootkit.KM
F-Prot 4.6.2.117 2011.09.12 –
F-Secure 9.0.16440.0 2011.09.12 Trojan:W32/MyBios.A
Fortinet 4.3.370.0 2011.09.11 W32/Mybios.A!tr.rkit
GData 22 2011.09.12 Trojan.Generic.KDV.328903
Ikarus T3.1.1.107.0 2011.09.12 Trojan-Dropper
Jiangmin 13.0.900 2011.09.11 Rootkit.Mybios.b
K7AntiVirus 9.112.5114 2011.09.09 Trojan
Kaspersky 9.0.0.837 2011.09.12 Rootkit.Win32.Mybios.a
McAfee 5.400.0.1158 2011.09.12 Boiskit.a
McAfee-GW-Edition 2010.1D 2011.09.11 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Tr
ojan.B
Microsoft 1.7604 2011.09.12 TrojanDropper:Win32/Bioskit.A
NOD32 6456 2011.09.12 Win32/TrojanDropper.RootDrop.AB
Norman 6.07.11 2011.09.11 W32/Suspicious_Gen2.OWKLA
nProtect 2011-09-12.01 2011.09.12 Gen:Variant.Kazy.34967
Panda 10.0.3.5 2011.09.11 Suspicious file
PCTools 8.0.0.5 2011.09.12 Trojan.Mebromi
Prevx 3.0 2011.09.12 –
Rising 23.74.03.03 2011.09.09 Trojan.Win32.Generic.1294136C
Sophos 4.69.0 2011.09.12 Troj/MyBios-A
SUPERAntiSpyware 4.40.0.1006 2011.09.10 –
Symantec 20111.2.0.82 2011.09.12 Trojan.Mebromi
TheHacker 6.7.0.1.293 2011.09.10 Trojan/Mybios.a
TrendMicro 9.500.0.1008 2011.09.09 TROJ_GEN.R01C3HO
TrendMicro-HouseCall 9.500.0.1008 2011.09.12 TROJ_MYBIOS.AB
VBA32 3.12.16.4 2011.09.12 Rootkit.Mybios.a
VIPRE 10452 2011.09.12 –
ViRobot 2011.9.10.4666 2011.09.12 –
VirusBuster 14.0.208.4 2011.09.12 Trojan.DR.RootDrop!QdYd6vAKrQU
Additional informationShow all
MD5 : bb5511a6586ba04335712e6c65e83671
SHA1 : 331151dc805875de7a7453ad00803ee9621ea0ce
File size : 130048 bytes
Afortunadamente la mayoría de los AV lo controla, pues de lo contrario, la corrección de la BIOS mas bien requiere la grabación de su código, descargado de la web del fabricante, o del cambio de chip, pero en portátiles ello se complica…
saludos
ms, 16-9-2011
PD: Evidentemente, con nuestro ELIMD5 ya puede detectarse dicho fichero introduciendo su hash : bb5511a6586ba04335712e6c65e83671
ms.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.