Commenti disabilitati

Mebromi, il malware che infetta il BIOS

2011
09.16

Il malware ha una natura polimorfica per definizione: chi sviluppa codice malevolo lo fa cercando sempre nuove soluzioni di difficile individuazione e, sempre più spesso, con lo scopo di trarre benefici economici. Una delle forme più pericolose di malware è costituita dai rootkit, componenti in grado di insidiare l’ MBR di sistema e rendere inefficaci i più diffusi tool antivirus.

Nei giorni scorsi gli esperti di sicurezza hanno individuato un nuovo malware ancor più difficile da rimuovere dai sistemi. Il nome di questo codice malevolo è Mebromi e come caratteristica principale ha la capacità di scrivere del codice direttamente nell’area di memoria in cui è allocato il BIOS. La peculiarità di Mebromi è già stata sfruttata da altri malware anni fa ma in passato si trattava di azioni distruttive sul BIOS stesso, ben diverso dallo scenario attuale.

Dalle informazioni al momento disponibili Mebromi è in grado di aggiungere del codice nell’area di memoria utilizzata per la memorizzazione del BIOS, poi avvia una procedura attraverso la quale sul PC viene installato un rootkit. Viene quindi modificato anche l’ MBR con tutte le potenziali conseguenze. Il malware in questo modo si crea un ambiente nel quale operare pur rimandendo difficilmente individuabile dalle comuni suite di sicurezza.

Nel caso in cui anche il componente rootkit venga individuato e rimosso la parte di codice presente a livello di BIOS e eseguita a ogni boot del PC è in grado di ri-infettare il sistema. Stando a quanto riportato in questa analisi condotta da Webroot, al momento Mebromi non ha una payload preoccupante e, soprattutto, per diventare una vera minaccia necessita dei privilegi di amministrazione sul PC. Inoltre, la compatibilità con la moltitudine di BIOS e di hardware in circolazione potrebbe essere un ulteriore ostacolo a questo genere di codici malevoli.

Mebromi pone però nuovi problemi agli esperti di sicurezza: una soluzione veramente efficace potrebbe venire agendo a bassissimo livello da parte dei produttori di hardware.

Fonte: hwfiles.it

Tags: , , ,

Comments are closed.