 |
||
Descubierto un nuevo virus de BIOS: el MEBROMImsc hotline sat Thursday, September 15, 2011 Especialistas en seguridad han descubierto recientemente un virus que llega en el BIOS, haciendo que sea muy difícil eliminarlo utilizando las soluciones antivirus comerciales actuales. El virus llamado Mebromi parece tener como blanco a los usuarios chinos, especialmente los propietarios de BIOS AMI, AWARD o PHOENIX, pero esto no significa que el resto del mundo está a salvo, ya que esto podría representar un abridor de puerta para los hackers que quieren asegurarse de que nuestros equipos permanecen bajo su control. Una descripción completa de la manera en que Mebromi funciona fue publicada en http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/, dándonos una visión sobre cómo llega este elemento malintencionado en el núcleo de un equipo. El rootkit de BIOS, un rootkit MBR, un rootkit de modo kernel, un inyector de archivo PE y un troyano de descarga son los elementos encapsulados en este malware potencialmente destructivo, que por el momento no es capaz de causar daños a equipos que ejecutan sistemas operativos de 64 bits si los privilegios de usuario son limitados. Todo comienza con unos cuantos archivos que intentan acceder al kernel con el fin de cargar el controlador de kernel del virus que generará más tarde la parte más grave de la infección. Después de infectar el BIOS exitosamente usando un archivo llamado Cbrom.exe, que es una herramienta legítima desarrollada por Phoenix Technologies diseñada para modificar archivos binarios ROM del sistema Award/Phoenix, sigue adelante infectando el registro master boot record del dispositivo. Los archivos winlogon.exe o wininit.exe también están dañados e inyectados con códigos que generarán la descarga de infecciones adicionales. "Almacenar el código malicioso dentro de la ROM del BIOS podría convertirse realmente en algo más que un problema de software de seguridad, habida cuenta de que incluso si un antivirus detecta y limpia la infección MBR, se restablecerá con el siguiente inicio del sistema cuando la carga malintencionada de BIOS sobrescribirá el código MBR nuevamente", dijo un investigador de Webroot. "Desarrollar una utilidad antivirus capaz de limpiar el código del BIOS es un desafío, porque debe carecer totalmente de errores, para evitar que no deje al sistema iniciarse en absoluto. El trabajo de manejar esos códigos específicos de sistema debe ser dejado en cargo de los desarrolladores del modelo específico de placa base, que publicarán actualizaciones de BIOS junto con herramientas específicas para actualizar el código de BIOS", reveló a continuación. Parece que estos tipos de amenazas deben presentar un poco de preocupación, pero la realidad es que es una tarea difícil para un hacker desarrollar un programa malintencionado que podría afectar a todos los tipos de equipos. Así que, por ahora, debemos preocuparnos más por los peligros actuales que se esconden detrás de nuestro cada clic, en un intento de ganar el control de nuestros equipos. http://news.softpedia.com/es/Descubierto-un-nuevo-virus-de-BIOS-Mebromi-221759.html Comentario: Al parecer es muy completo, pues contiene un poco de todo: rootkit para la BIOS especialmente diseñadas para las fabricadas por Award, AMI o Phoenix, un kit para infectar el MBR, otro para el kernel, un archivo ejecutable PE y un troyano. Como curiosidad destacar que Membromi no esta diseñado para infectar sistemas de 64 bits ni tampoco aquello que funcionar con privilegios limitados. La infección comienza con 5 archivos encriptados con estos nombres:T hook.rom, flash.dll, cbrom.exe , my.sys, bios.sys. En este analisis de VirusTotal puede verse el nivel de deteccion actual de uno de los ficheros integrantes: File name: bb5511a6586ba04335712e6c65e83671 Submission date: 2011-09-12 14:07:38 (UTC) Current status: finished Result: 36 /44 (81.8%) VT Community malware Safety score: 0.0% Compact Print results There is a more up-to-date report (38/44) for this file. Antivirus Version Last Update Result AhnLab-V3 2011.09.12.00 2011.09.12 Win-Trojan/Mybios.130048 AntiVir 7.11.14.176 2011.09.12 TR/Dropper.Gen Antiy-AVL 2.0.3.7 2011.09.12 Trojan/Win32.Mybios.gen Avast 4.8.1351.0 2011.09.12 - Avast5 5.0.677.0 2011.09.12 Win32:SuspBehav-C AVG 10.0.0.1190 2011.09.12 Dropper.Generic4.SZO BitDefender 7.2 2011.09.12 Trojan.Generic.KDV.328903 ByteHero 1.0.0.1 2011.09.01 Trojan.Win32.Heur.Gen CAT-QuickHeal None 2011.09.12 - ClamAV 0.97.0.0 2011.09.12 Trojan.MyBios Commtouch 5.3.2.6 2011.09.12 - Comodo 10085 2011.09.12 Heur.Suspicious DrWeb 5.0.2.03300 2011.09.12 Trojan.Bioskit.1 Emsisoft 5.1.0.11 2011.09.12 Trojan-Dropper!IK eSafe 7.0.17.0 2011.09.11 Win32.TRDropper eTrust-Vet 36.1.8550 2011.09.10 Win32/Rootkit.KM F-Prot 4.6.2.117 2011.09.12 - F-Secure 9.0.16440.0 2011.09.12 Trojan:W32/MyBios.A Fortinet 4.3.370.0 2011.09.11 W32/Mybios.A!tr.rkit GData 22 2011.09.12 Trojan.Generic.KDV.328903 Ikarus T3.1.1.107.0 2011.09.12 Trojan-Dropper Jiangmin 13.0.900 2011.09.11 Rootkit.Mybios.b K7AntiVirus 9.112.5114 2011.09.09 Trojan Kaspersky 9.0.0.837 2011.09.12 Rootkit.Win32.Mybios.a McAfee 5.400.0.1158 2011.09.12 Boiskit.a McAfee-GW-Edition 2010.1D 2011.09.11 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Tr ojan.B Microsoft 1.7604 2011.09.12 TrojanDropper:Win32/Bioskit.A NOD32 6456 2011.09.12 Win32/TrojanDropper.RootDrop.AB Norman 6.07.11 2011.09.11 W32/Suspicious_Gen2.OWKLA nProtect 2011-09-12.01 2011.09.12 Gen:Variant.Kazy.34967 Panda 10.0.3.5 2011.09.11 Suspicious file PCTools 8.0.0.5 2011.09.12 Trojan.Mebromi Prevx 3.0 2011.09.12 - Rising 23.74.03.03 2011.09.09 Trojan.Win32.Generic.1294136C Sophos 4.69.0 2011.09.12 Troj/MyBios-A SUPERAntiSpyware 4.40.0.1006 2011.09.10 - Symantec 20111.2.0.82 2011.09.12 Trojan.Mebromi TheHacker 6.7.0.1.293 2011.09.10 Trojan/Mybios.a TrendMicro 9.500.0.1008 2011.09.09 TROJ_GEN.R01C3HO TrendMicro-HouseCall 9.500.0.1008 2011.09.12 TROJ_MYBIOS.AB VBA32 3.12.16.4 2011.09.12 Rootkit.Mybios.a VIPRE 10452 2011.09.12 - ViRobot 2011.9.10.4666 2011.09.12 - VirusBuster 14.0.208.4 2011.09.12 Trojan.DR.RootDrop!QdYd6vAKrQU Additional informationShow all MD5 : bb5511a6586ba04335712e6c65e83671 SHA1 : 331151dc805875de7a7453ad00803ee9621ea0ce File size : 130048 bytes Afortunadamente la mayoría de los AV lo controla, pues de lo contrario, la corrección de la BIOS mas bien requiere la grabación de su código, descargado de la web del fabricante, o del cambio de chip, pero en portátiles ello se complica... saludos ms, 16-9-2011 PD: Evidentemente, con nuestro ELIMD5 ya puede detectarse dicho fichero introduciendo su hash : bb5511a6586ba04335712e6c65e83671 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|