Inicio de zonavirus, antivirus
SATINFO

Descubierto un nuevo virus de BIOS: el MEBROMI

msc hotline sat
jueves, 15 de septiembre de 2011

Especialistas en seguridad han descubierto recientemente un virus que llega en el BIOS, haciendo que sea muy difícil eliminarlo utilizando las soluciones antivirus comerciales actuales.



El virus llamado Mebromi parece tener como blanco a los usuarios chinos, especialmente los propietarios de BIOS AMI, AWARD o PHOENIX, pero esto no significa que el resto del mundo está a salvo, ya que esto podría representar un abridor de puerta para los hackers que quieren asegurarse de que nuestros equipos permanecen bajo su control.



Una descripción completa de la manera en que Mebromi funciona fue publicada en http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/, dándonos una visión sobre cómo llega este elemento malintencionado en el núcleo de un equipo.



El rootkit de BIOS, un rootkit MBR, un rootkit de modo kernel, un inyector de archivo PE y un troyano de descarga son los elementos encapsulados en este malware potencialmente destructivo, que por el momento no es capaz de causar daños a equipos que ejecutan sistemas operativos de 64 bits si los privilegios de usuario son limitados.



Todo comienza con unos cuantos archivos que intentan acceder al kernel con el fin de cargar el controlador de kernel del virus que generará más tarde la parte más grave de la infección.



Después de infectar el BIOS exitosamente usando un archivo llamado Cbrom.exe, que es una herramienta legítima desarrollada por Phoenix Technologies diseñada para modificar archivos binarios ROM del sistema Award/Phoenix, sigue adelante infectando el registro master boot record del dispositivo.



Los archivos winlogon.exe o wininit.exe también están dañados e inyectados con códigos que generarán la descarga de infecciones adicionales.



"Almacenar el código malicioso dentro de la ROM del BIOS podría convertirse realmente en algo más que un problema de software de seguridad, habida cuenta de que incluso si un antivirus detecta y limpia la infección MBR, se restablecerá con el siguiente inicio del sistema cuando la carga malintencionada de BIOS sobrescribirá el código MBR nuevamente", dijo un investigador de Webroot.



"Desarrollar una utilidad antivirus capaz de limpiar el código del BIOS es un desafío, porque debe carecer totalmente de errores, para evitar que no deje al sistema iniciarse en absoluto. El trabajo de manejar esos códigos específicos de sistema debe ser dejado en cargo de los desarrolladores del modelo específico de placa base, que publicarán actualizaciones de BIOS junto con herramientas específicas para actualizar el código de BIOS", reveló a continuación.



Parece que estos tipos de amenazas deben presentar un poco de preocupación, pero la realidad es que es una tarea difícil para un hacker desarrollar un programa malintencionado que podría afectar a todos los tipos de equipos. Así que, por ahora, debemos preocuparnos más por los peligros actuales que se esconden detrás de nuestro cada clic, en un intento de ganar el control de nuestros equipos.



http://news.softpedia.com/es/Descubierto-un-nuevo-virus-de-BIOS-Mebromi-221759.html





Comentario:





Al parecer es muy completo, pues contiene un poco de todo: rootkit para la BIOS especialmente diseñadas para las fabricadas por Award, AMI o Phoenix, un kit para infectar el MBR, otro para el kernel, un archivo ejecutable PE y un troyano.



Como curiosidad destacar que Membromi no esta diseñado para infectar sistemas de 64 bits ni tampoco aquello que funcionar con privilegios limitados.



La infección comienza con 5 archivos encriptados con estos nombres:T hook.rom, flash.dll, cbrom.exe , my.sys, bios.sys.



En este analisis de VirusTotal puede verse el nivel de deteccion actual de uno de los ficheros integrantes:



File name: bb5511a6586ba04335712e6c65e83671

Submission date: 2011-09-12 14:07:38 (UTC)

Current status: finished

Result: 36 /44 (81.8%)

VT Community



malware

Safety score: 0.0%

Compact Print results



There is a more up-to-date report (38/44) for this file.



Antivirus Version Last Update Result

AhnLab-V3 2011.09.12.00 2011.09.12 Win-Trojan/Mybios.130048

AntiVir 7.11.14.176 2011.09.12 TR/Dropper.Gen

Antiy-AVL 2.0.3.7 2011.09.12 Trojan/Win32.Mybios.gen

Avast 4.8.1351.0 2011.09.12 -

Avast5 5.0.677.0 2011.09.12 Win32:SuspBehav-C

AVG 10.0.0.1190 2011.09.12 Dropper.Generic4.SZO

BitDefender 7.2 2011.09.12 Trojan.Generic.KDV.328903

ByteHero 1.0.0.1 2011.09.01 Trojan.Win32.Heur.Gen

CAT-QuickHeal None 2011.09.12 -

ClamAV 0.97.0.0 2011.09.12 Trojan.MyBios

Commtouch 5.3.2.6 2011.09.12 -

Comodo 10085 2011.09.12 Heur.Suspicious

DrWeb 5.0.2.03300 2011.09.12 Trojan.Bioskit.1

Emsisoft 5.1.0.11 2011.09.12 Trojan-Dropper!IK

eSafe 7.0.17.0 2011.09.11 Win32.TRDropper

eTrust-Vet 36.1.8550 2011.09.10 Win32/Rootkit.KM

F-Prot 4.6.2.117 2011.09.12 -

F-Secure 9.0.16440.0 2011.09.12 Trojan:W32/MyBios.A

Fortinet 4.3.370.0 2011.09.11 W32/Mybios.A!tr.rkit

GData 22 2011.09.12 Trojan.Generic.KDV.328903

Ikarus T3.1.1.107.0 2011.09.12 Trojan-Dropper

Jiangmin 13.0.900 2011.09.11 Rootkit.Mybios.b

K7AntiVirus 9.112.5114 2011.09.09 Trojan

Kaspersky 9.0.0.837 2011.09.12 Rootkit.Win32.Mybios.a

McAfee 5.400.0.1158 2011.09.12 Boiskit.a

McAfee-GW-Edition 2010.1D 2011.09.11 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Tr

ojan.B

Microsoft 1.7604 2011.09.12 TrojanDropper:Win32/Bioskit.A

NOD32 6456 2011.09.12 Win32/TrojanDropper.RootDrop.AB

Norman 6.07.11 2011.09.11 W32/Suspicious_Gen2.OWKLA

nProtect 2011-09-12.01 2011.09.12 Gen:Variant.Kazy.34967

Panda 10.0.3.5 2011.09.11 Suspicious file

PCTools 8.0.0.5 2011.09.12 Trojan.Mebromi

Prevx 3.0 2011.09.12 -

Rising 23.74.03.03 2011.09.09 Trojan.Win32.Generic.1294136C

Sophos 4.69.0 2011.09.12 Troj/MyBios-A

SUPERAntiSpyware 4.40.0.1006 2011.09.10 -

Symantec 20111.2.0.82 2011.09.12 Trojan.Mebromi

TheHacker 6.7.0.1.293 2011.09.10 Trojan/Mybios.a

TrendMicro 9.500.0.1008 2011.09.09 TROJ_GEN.R01C3HO

TrendMicro-HouseCall 9.500.0.1008 2011.09.12 TROJ_MYBIOS.AB

VBA32 3.12.16.4 2011.09.12 Rootkit.Mybios.a

VIPRE 10452 2011.09.12 -

ViRobot 2011.9.10.4666 2011.09.12 -

VirusBuster 14.0.208.4 2011.09.12 Trojan.DR.RootDrop!QdYd6vAKrQU



Additional informationShow all

MD5 : bb5511a6586ba04335712e6c65e83671

SHA1 : 331151dc805875de7a7453ad00803ee9621ea0ce



File size : 130048 bytes





Afortunadamente la mayoría de los AV lo controla, pues de lo contrario, la corrección de la BIOS mas bien requiere la grabación de su código, descargado de la web del fabricante, o del cambio de chip, pero en portátiles ello se complica...



saludos



ms, 16-9-2011





PD: Evidentemente, con nuestro ELIMD5 ya puede detectarse dicho fichero introduciendo su hash : bb5511a6586ba04335712e6c65e83671

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2020 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto