|
Poslao: 14 Sep 2011 20:29
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
U poslednjih nekoliko nedelja su primećene infekcije malware-om koji bi se mogao nazvati prvim pravim, široko rasprostranjenim, BIOS rootkitom.
Konkretan primerak malware-a napada samo računare na kojima se nalaze antivirusi kineskih kompanija Rising i Jiangmin, a na kojima se nalazi Award BIOS.
Aktivna infekcija se sastoji od BIOS komponente, MBR rootkita, PE infektora (virusa) i trojan downloadera.
Više detalja: http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/
Šta reći sem da stvari postaju zanimljive (na neki svoj, totalno nezanimljivi, način  )?
Dezinfekcija? Malo sutra... Kada bi antivirusi krenuli da flash-uju BIOS, nastao bi totalni haos.
Pozitivno u ovoj priči je činjenica da je ovakav malware veoma kompleksan za razvijanje i da je vrlo teško postići kompatibilnost sa svim računarima pa stoga verovatno nećemo ni videti neke epidemije.
|
|
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
Poslao: 14 Sep 2011 20:37
|
offline
- NIx Car
- Legendarni građanin
- Més que un club
- Glavni vokal @ Harpun
- Pridružio: 27 Feb 2009
- Poruke: 3898
- Gde živiš: Novi Sad,Klisa
|
A rucno flashovanje BIOSa bi uklonilo malware?
|
|
|
|
|
|
|
Poslao: 14 Sep 2011 20:52
|
rip
- argus
- Anti Malware Fighter
Rank 2
- Pridružio: 27 Apr 2008
- Poruke: 9160
- Gde živiš: Prokuplje
|
Citat:Aktivna infekcija se sastoji od BIOS komponente, MBR rootkita, PE infektora (virusa) i trojan downloadera.
Cetiri jahaca apokalipse, ekipa na nivou.
|
|
|
|
|
|
|
Poslao: 14 Sep 2011 21:10
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Citat:A rucno flashovanje BIOSa bi uklonilo malware?
Ne.
Inficirani su i MBR i sistemski file (winlogon.exe ili wininit.exe).
Ako se flashuje BIOS, inficirani MBR će da inficira sistemski file (ako već nije inficiran), a taj file će da učita kernel mode rootkit (pa se može očekivati da će BIOS opet biti inficiran).
Ako se odradi FIXMBR, BIOS komponenta će opet da inficira BIOS (i sistemski file).
Ako se dezinfikuje file, biće opet inficiran od strane MBR koda.
Koliko razumeh način rada malware-a, sem u slučaju da isti ima konkretnu slabost u načinu na koji se štiti, pretpostavljam da pokušaji dezinfekcije pojedinih komponenata infekcije ne bi urodili plodom već da je u jednom koraku potrebno flash-ovati BIOS, restaurirati MBR (fixmbr) i dezinfikovati inficirani file - pošto se sve ovo radi offline (dok Windows nije aktivan) dezinfekcija file-a bi se praktično svela na zamenu istoga čistom kopijom.
Neki fix? Možda grešim, no ovo mi zvuči kao teško izvodljivo za jedno parče softvera - čak i da je moguće, mislim da baš i nije pametno; pokretanje nekog kombinovanog fix-a iz Windowsa mi se čini kao jako rizičan korak (jer će onaj kernel mode driver koji bude učitan od strane winlogon/wininit sigurno da štiti infekciju, a bilo kakva greška u celom postupku znači neuspeh i, možda, matičnu ploču nesposobnu za boot).
|
|
|
|
|
|
|
Poslao: 14 Sep 2011 21:13
|
offline
- Sass Drake
- Anti Malware Fighter
Rank 2
- Pridružio: 26 Avg 2010
- Poruke: 10622
- Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building
|
Samo one koji imaju instaliran Rising i Jiangmin. Sumnjivo, nema šta.
|
|
|
|
|
|
|
Poslao: 14 Sep 2011 22:31
|
offline
- Kerber
- Počasni građanin
- Pridružio: 25 Mar 2004
- Poruke: 816
|
Pre bih rekao da su gore pomenute kompanije malo gladne publiciteta
|
|
|
|
|
|
|
Poslao: 14 Sep 2011 22:41
|
offline
- higuy
- Legendarni građanin
- penzionisani tabijatlija
- crni hronicar
- Pridružio: 21 Apr 2010
- Poruke: 8565
- Gde živiš: Dubocica
|
Boot sa drugog medija je moguce resenje. Sa njih je moguce sve. Od flash-ovanja BIOS-a do popravke OS-a na HDD-u.
|
|
|
|
|
|
|
|
|
|
|
|
