• Webroot Detecta Atividades de Rootkit "Mebromi"

    Publicado em 16-09-2011 16:40
    0 Comentários Comentários
    Um grupo de pesquisadores da área de segurança descobriu recentemente, a existência de um novo rootkit que tem como alvo BIOS (Basic Input/Output System) dos computadores, tornando a infecção mais difícil de ser detectada e erradicada, e persistir mesmo que haja uma substituição física do disco rígido.

    Conhecido como Mebromi, o rootkit foi detectado pela primeira vez por uma empresa de segurança chinesa, enquanto estava direcionada aos usuários em "estado selvagem". Depois disso, outros pesquisadores conseguiram colocar suas mãos sobre o malware e realizar uma análise mais aprofundada sobre o seu comportamento.


    Rootkit Entrando em Atividade

    De acordo com a Webroot, o pacote malicioso contém um rootkit BIOS, um rootkitMBR, um rootkit em modo kernel, um PE file infector e um downloader trojan. Uma vez baixado em um computador, o malwareverifica a BIOS utilizada; se for Award BIOS - utilizadas por placas-mãe desenvolvidas pela Phoenix Technologies, a praga enfiltra-se sobre ele para que, cada vez que o sistema seja reiniciado, ele possa infectá-lo novamente se for necessário.

    Dessa maneira, ele adiciona o código para o disco rígido do Master Boot Record (MBR), a fim de infectar owinlogon.exe (Windows XP/2003) ou processo winnt.exe (Windows 2000), que será usado para baixar um arquivo adicional e executá-lo. É mais um rootkit, e este tem por objetivo prevenir o código MBR a ser limpo e restaurado, através de uma solução de AV.


    Análise Realizada Sobre o Rootkit

    Segundo Marco Giuliani, especialista em segurança da Webroot, há uma grande especulação de que, a razão pela qual Mebromi alveja apenas ROM Award BIOS, é devido ao fato dele ter sido modelado após o rootkit IceLord, um PoC que veio à público em 2007 e fez a mesma coisa. Para tornar Mebromi uma grande ameaça, seus criadores devem trabalhar muito a fim de torná-lo totalmente compatível com todas as grandes BIOS ROM que existem lá fora. Isso é considerado uma tarefa dificílima.

    Armazenar o código malicioso dentro do ROM BIOS pode, realmente, tornar-se mais do que apenas um problema para o software de segurança, devido ao fato de que, mesmo que um antivírus detecte e solucione o problema de infecção MBR, ele será restaurado na próxima inicialização do sistema quando a carga maliciosa da BIOS, transcrever o código MBR novamente.

    Trabalhar na projeção de um utilitário antivírus, que tenha a capacidade de limpar o código da BIOS é um enorme desafio, porque ele precisa ser totalmente à prova de erros. O processo de manipulação com tais códigos específicos do sistema, deve ser deixado para os desenvolvedores que trabalham em um determinado modelo de placa-mãe , que libera atualizações de BIOS, junto com ferramentas direcionadas para a atualização do seu código.


    Links de Interesse:

    -Mebromi Rootkit
    + Enviar Comentário