Especialistas en seguridad han descubierto
recientemente un virus que llega en el BIOS, haciendo que sea muy
difícil eliminarlo utilizando las soluciones antivirus comerciales
actuales.
El virus llamado Mebromi parece tener como
blanco a los usuarios chinos, especialmente los propietarios de BIOS
AMI, pero esto no significa que el resto del mundo está a salvo, ya que
esto podría representar un abridor de puerta para los hackers que
quieren asegurarse de que nuestros equipos permanecen bajo su control.
Una descripción completa de la manera en que Mebromi funciona fue publicada en Webroot Threat Blog, dándonos una visión sobre cómo llega este elemento malintencionado en el núcleo de un equipo.
El rootkit de BIOS, un rootkit MBR, un
rootkit de modo kernel, un inyector de archivo PE y un troyano de
descarga son los elementos encapsulados en este malware potencialmente
destructivo, que por el momento no es capaz de causar daños a equipos
que ejecutan sistemas operativos de 64 bits si los privilegios de
usuario son limitados.
Todo comienza con unos cuantos archivos
que intentan acceder al kernel con el fin de cargar el controlador de
kernel del virus que generará más tarde la parte más grave de la
infección.
Después de infectar el BIOS exitosamente
usando un archivo llamado Cbrom.exe, que es una herramienta legítima
desarrollada por Phoenix Technologies diseñada para modificar archivos
binarios ROM del sistema Award/Phoenix, sigue adelante infectando el
registro master boot record del dispositivo.
Los archivos winlogon.exe o wininit.exe
también están dañados e inyectados con códigos que generarán la descarga
de infecciones adicionales.
“Almacenar el código malicioso dentro de
la ROM del BIOS podría convertirse realmente en algo más que un problema
de software de seguridad, habida cuenta de que incluso si un antivirus
detecta y limpia la infección MBR, se restablecerá con el siguiente
inicio del sistema cuando la carga malintencionada de BIOS sobrescribirá
el código MBR nuevamente”, dijo un investigador de Webroot.
“Desarrollar una utilidad antivirus capaz
de limpiar el código del BIOS es un desafío, porque debe carecer
totalmente de errores, para evitar que no deje al sistema iniciarse en
absoluto. El trabajo de manejar esos códigos específicos de sistema debe
ser dejado en cargo de los desarrolladores del modelo específico de
placa base, que publicarán actualizaciones de BIOS junto con
herramientas específicas para actualizar el código de BIOS”, reveló a
continuación.
Parece que estos tipos de amenazas deben
presentar un poco de preocupación, pero la realidad es que es una tarea
difícil para un hacker desarrollar un programa malintencionado que
podría afectar a todos los tipos de equipos. Así que, por ahora, debemos
preocuparnos más por los peligros actuales que se esconden detrás de
nuestro cada clic, en un intento de ganar el control de nuestros
equipos.
No hay comentarios:
Publicar un comentario
Dejar Comentarios