Prošle godine istraživači kineske kompanije Qihoo 360 otkrili su prvi rootkit čija je meta BIOS koji je sposoban stalno inficirati računala, čak i ako se hard disk fizički ukloni i zamjeni drugim. Rootkit nazvan Mebromi ili MyBios pogađa samo korisnike Award BIOS-a koji koriste matične ploče proizvođača Phoenix Technologies.
Sada su istraživači proizvođača antivirusa kompanije McAfee otkrili novi BIOS rootkit nazvan Niwa!mem koji je prvobitno inficirao MBR ali čija najnovija verzija inficira BIOS. Malver prepisuje originalni MBR u sektoru 0 i postavlja svoj dodatni dio (downloader) u skriveni MBR sektor. DLL se kopira u Recycle folder, a zatim se prividno briše. Downloader se postavlja i izvršava svaki put kada se sistem (Windows) pokrene. Sve ubačene komponente će biti prisutne u DLL, uključujući i fajl proizvođača BIOS-a cbrom.exe, koji malver koristi za flešanje BIOS-a. Award BIOS je i dalje meta, a iako ima nekih izmjena u KOD-u malvera, ima i mnogo sličnosti u KOD-u zbog čega istraživači vjeruju da ista grupa koja je razvila Mebromi stoji i iza rootkit-a Niwa!mem. S obzirom da su dva BIOSkit malvera otkrivena jedan za drugim u relativno kratkom roku istraživači očekuju da treba očekivati i nove malvere ovog tipa u budućnosti. Infekciju MBR nije teško otkriti ni ukloniti, ali uklanjanje infekcije BIOS-a bit će izazov za proizvođače antivirusa, smatraju stručnjaci.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.