Mebromi, il malware che infetta il BIOS

Mebromi è un nuovo malware in grado di inserire codice nel BIOS al fine di garantire il proprio funzionamento, anche nel caso in cui venga sostituito l'hard disk del PC

di Fabio Boneschi pubblicata il 15 Settembre 2011, alle 16:46 nel canale Sicurezza

Il malware ha una natura polimorfica per definizione: chi sviluppa codice malevolo lo fa cercando sempre nuove soluzioni di difficile individuazione e, sempre più spesso, con lo scopo di trarre benefici economici. Una delle forme più pericolose di malware è costituita dai rootkit, componenti in grado di insidiare l' MBR di sistema e rendere inefficaci i più diffusi tool antivirus.

Nei giorni scorsi gli esperti di sicurezza hanno individuato un nuovo malware ancor più difficile da rimuovere dai sistemi. Il nome di questo codice malevolo è Mebromi e come caratteristica principale ha la capacità di scrivere del codice direttamente nell'area di memoria in cui è allocato il BIOS. La peculiarità di Mebromi è già stata sfruttata da altri malware anni fa ma in passato si trattava di azioni distruttive sul BIOS stesso, ben diverso dallo scenario attuale.

Dalle informazioni al momento disponibili Mebromi è in grado di aggiungere del codice nell'area di memoria utilizzata per la memorizzazione del BIOS, poi avvia una procedura attraverso la quale sul PC viene installato un rootkit. Viene quindi modificato anche l' MBR con tutte le potenziali conseguenze. Il malware in questo modo si crea un ambiente nel quale operare pur rimandendo difficilmente individuabile dalle comuni suite di sicurezza.

Nel caso in cui anche il componente rootkit venga individuato e rimosso la parte di codice presente a livello di BIOS e eseguita a ogni boot del PC è in grado di ri-infettare il sistema. Stando a quanto riportato in questa analisi condotta da Webroot, al momento Mebromi non ha una payload preoccupante e, soprattutto, per diventare una vera minaccia necessita dei privilegi di amministrazione sul PC. Inoltre, la compatibilità con la moltitudine di BIOS e di hardware in circolazione potrebbe essere un ulteriore ostacolo a questo genere di codici malevoli.

Mebromi pone però nuovi problemi agli esperti di sicurezza: una soluzione veramente efficace potrebbe venire agendo a bassissimo livello da parte dei produttori di hardware.

Rockstar rilascia il primo trailer di Max Payne 3

Alcuni dettagli per la Challenge Mode di Batman Arkham City

Tauron15 Settembre 2011, 17:08 #1

Ma a questo punto non basta flashare il bios? E comunque non avete detto come possiamo accorgerci di tale virus... XD

zanardi8415 Settembre 2011, 17:11 #2

L'update del bios da windows può costituire un veicolo per il malware, specie se il tool si connette direttamente ad internet per scaricare il file?

Perseverance15 Settembre 2011, 17:22 #3

Qui è scritta in modo un po' più dettagliato: http://www.ilsoftware.it/googlenews2.asp?ID=7766

Xò in alcuni bios c'è l'opzione "Enable Virus Warning" che impedisce la sovrascrittura del MBR e del Bios stesso. Questa notizia non mi suona nuova, era chiaro che prima o poi qualcuno l'avrebbe fatto. Se esistono gli aggiornamenti del bios da windows (vedi i portatili ad esempio) è logico aspettarsi che qualcuno s'inventerà un virus per poterci scrivere usando quei comandi.

frankie15 Settembre 2011, 18:09 #4

il miglior rimedio è comunque e SEMPRE essere un utente con pochi privilegi.

Apprezzo anche come W7 ha un utilizzo dinamico dell UAC che chiede quando serve l'account administrator.

MA

Sistemare il menù start è un incubo. Vabbè inserisco un po' di volte la pw

Sapo8415 Settembre 2011, 18:23 #5

Bah, non vorrei dirlo ma è da ben più di un lustro che esiste una soluzione al problema, e si chiama trusted computing.
Questo perché tra i compiti del modulo c'è anche quello di fornire il secure boot, se BIOS o MBR cambiano il boot viene considerato non sicuro e ipoteticamente il sistema operativo può rifiutarsi di bootare.

Però come al solito si è parlato di schedatura, il pc non è più tuo, scenari apocalittici alla Grande Fratello e alla fine in pochissimi hanno integrato il modulo TPM.
Ma vabbè, è ovvio che tra la spiegazione dei vantaggi evidenti e le pirlate da nerd quattordicenne la gente avrebbe dato retta alle seconde

SuperSandro15 Settembre 2011, 18:35 #6

Non capisco come mai ancora nessuno ha pensato di inserire un interruttore "fisico" (cioè con tanto di levetta) che consenta / impedisca di scrivere dati sul BIOS.

Per fare aggiornamenti del BIOS (che per fortuna non capitano tutti i giorni e dovrebbero essere appannaggio solo di persone che sanno usare almeno il cacciavite) bisognerebbe aprire il cabinet e spostare l'interruttore per fornire la corrente di scrittura.

Dopo l'update, riposizionarlo come prima.

Luca6915 Settembre 2011, 18:51 #7

Alcuni BIOS hanno questa funzione: per poter scrivere devi spostare un jumper sulla scheda madre o abilitare la funzine di scrittura nel bios stesso

Perseverance15 Settembre 2011, 19:36 #8

Originariamente inviato da: Luca69

abilitare la funzine di scrittura nel bios stesso

Appunto, il mio bios ce l'ha e anche il bios di altre 6 persone che conosco. I portatili invece mi pare siano carenti.

Cmq ripeto che era prevedibile. Se si apre la possibilità di scrivere nel bios da windows allora la frittata è fatta.

Pensate un attimo ad una cosa: i voltaggi dei componenti possono essere cambiati da windows ad esempio coi programmini di tuning; cosa impedisce ad un virus di fare altrettanto per farti bruciare il processore, la ram o la gpu ??

MiKeLezZ15 Settembre 2011, 20:30 #9

Dicono basti avere un s.o. a 64 bit... ce li ho su tutti i PC. Problema risolto.

LS198715 Settembre 2011, 21:44 #10

Originariamente inviato da: Sapo84

Il trusted computing dovrebbe essere utilizzato nei sistemi critici, in cui nessuno dovrebbe permettersi di smanettare.
La paura principale non riguarda il trusted computing, ma una sua implementazione: http://www.disinformazione.it/palladium.htm Palladium che faceva eseguire solo programmi firmati e quindi impediva addiritura di installare Linux (non so se con una macchina virtuale si poteva risolvere il problema, ma quali software di virtualizzazione sarebbero stati accettati?).
Nei PC con il TPM Linux è invece installabile, così come altri sistemi operativi.

Originariamente inviato da: Perseverance

Per quanto riguarda i voltaggi in effetti qualche rischio potrebbe esserci, bloccando la possibilità di aumentare i voltaggi, anche un overclock tremendo non è problematico, dato che al limite si riavvia il PC, oppure se rimanesse per assurdo stabile, il PC si spegnerebbe andando in protezione (se però uno ha un pessimo alimentatore potrebbe avere problemi) se la temperatura si alzasse troppo (in tal caso complimenti: CPU fortunata e con un buon impianto a liquido sarebbe stabile senza problemi).
Comunque questo scenario è improbabile se sei un home user comune, può capitare solo se hai un Server con servizi critici (ad esempio gestione di database o siti di grandi aziende, oppure di governi/ministeri): di solito i malware puntano a diffondersi e se non sei un obiettivo strategico non hanno interesse a distruggere un PC.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.

tutti gli articoli »

tutte le news »

Multimedia
Gallerie
Video

Tesla Model 3 Performance

Maserati GranCabrio Folgore

05:51

Fujifilm X100VI: con le 'ricette' è la fotocamera più divertente del momento

07:56

DJI Avata 2: il drone FPV accessibile ancora più sicuro e divertente

06:11

Automazione e precisione nei nuovi robot Dreame

Logitech Signature Combo MK950

Lenovo ThinkVision 3D 27, la steroscopia senza occhialini Primo contatto con il monitor Lenovo ThinkVision 3D 27 che grazie a particolari accorgimenti tecnici riesce a ricreare l'illusione della spazialità tridimensionale...

Nothing Ear e Ear (a): gli auricolari per tutti i gusti! La ''doppia'' recensione Nothing propone sul mercato non uno ma ben due auricolari nuovi: Ear di terza generazione e Ear (a) ossia un nuovo modello a basso costo pronto a ritagliarsi una...

Granblue Fantasy: Relink, un action RPG che vi sorprenderà - Recensione PS5 Dopo l'ottimo Versus: Rising, tocca a Relink espandere l'immaginario di Granblue Fantasy. Per il suo progetto più ambizioso, Cygames sceglie di esplorare (con grande...

Sony FE 16-25mm F2.8 G: meno zoom, più luce Il nuovo Sony FE 16-25mm F2.8G si aggiunge all'analogo 24-50mm per offrire una coppia di zoom compatti ma di apertura F2.8 costante, ideali per corpi macchina altrettanto...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA Abbiamo partecipato ad Appian World 2024, evento dedicato a partner e clienti che si è svolto recentemente nei pressi di Washington DC, vicino alla sede storica...

La Formula E può correre su un tracciato vero? Reportage da Misano con Jaguar TCS Racing Abbiamo visto ancora una volta la Formula E da vicino, ospiti di Jaguar TCS Racing. In questa occasione però curve e rettilinei erano quelli di un circuito permanente,...

Fujifilm X100VI: con le 'ricette' è la fotocamera più divertente del momento Fujifilm X100VI è la fotocamera perfetta per divertirsi con la street photography: è tascabile, offre grande qualità, ma soprattutto permette di giocare molto con...

No Rss

Mebromi, il malware che infetta il BIOS

23 Commenti