Zagrożenia internetowe III kw. 2011

Przeczytaj także: Zagrożenia internetowe I kw. 2011

Infekcje BIOSu: doskonalenie technologii ukrywania się

Powiedzenie „Wszystko już było” można doskonale odnieść do technologii infekowania BIOS-u oraz wykorzystującego ją nowego trojana: Backdoor.Win32.Mebromi.

Od pojawienia się niesławnego wirusa CIH (znanego również jako Chernobyl), który potrafił infekować BIOS, minęło ponad 10 lat. Dlaczego więc twórcy wirusów postanowili wrócić do infekowania MBR-a i BIOS-u? Otóż głównym czynnikiem, który ich do tego skłonił, są stosowane technologie antywirusowe. Nowe funkcje dostępne w dzisiejszych systemach operacyjnych, takie jak możliwość instalowania tylko sterowników od zaufanych producentów oraz sprawdzania integralności takich sterowników, utrudniło instalowanie rootkitów w uruchomionym systemie. To oznacza, że twórcy wirusów musieli poszukać sposobów uruchomienia swoich programów przed startem systemu operacyjnego.
Jak widać na diagramie wyżej, istnieje kilka etapów, podczas których szkodliwi użytkownicy mogą próbować ingerować między momentem wciśnięcia przycisku „Power on” a startem systemu operacyjnego. Zgodnie z naszymi przewidywaniami, wzrost liczby systemów x64 doprowadził do zwiększenia się liczby bootkitów – szkodliwego oprogramowania, które infekuje MBR. Jednak producenci oprogramowania antywirusowego dość szybko znaleźli skuteczne rozwiązania na tego rodzaju infekcje. Dlatego cyberprzestępcom pozostało tylko infekowanie BIOS-u.

Backdoor.Win32.Mebromi składa się z kilku komponentów: instalatora, rootkita, droppera MBR z funkcjonalnością wirusa plikowego oraz droppera BIOS. Z naszego punktu widzenia, najbardziej interesujący jest kod dodawany do BIOS-u. Jego funkcjonalność ogranicza się do sprawdzania, czy MBR jest zainfekowany. Jeśli okaże się, że nie jest, szkodnik „przywraca” infekcję. Następnie program działa jak typowy bootkit, mimo że, teoretycznie, zainfekowany BIOS otwiera cały wachlarz możliwości przed szkodliwym kodem.

Przeglądając listę komponentów, na pierwszy rzut oka nie widać, gdzie kryje się szkodliwa funkcja. W rzeczywistości, cała ta złożona technologia jest wykorzystywana w jednym celu: aby potajemnie pobrać plik z internetu, a następnie ukryć go. Kod dodany do pliku systemowego wininit.exe (2000) lub winlogon.exe (XP/2003) przez droppera MBR jest odpowiedzialny za pobieranie programów z internetu. To właśnie taki pobrany plik - Trojan-Clicker – zarabia pieniądze dla cyberprzestępców.

Dlaczego Mebromi robi tak niewiele? Wygląda na to, że ma to coś wspólnego z faktem, że ten szkodliwy program składa się z różnych komponentów i opiera się głównie na znanym programie „proof of concept” służącym do infekowania BIOS-u, który został stworzony jeszcze w 2007 roku. To również wyjaśnia, dlaczego infekowany jest głównie BIOS produkowany przez AWARD.

A zatem, czy należy spodziewać się dalszego rozwoju tych technologii? Na razie, wydaje się to nieprawdopodobne, ponieważ rozwój tego rodzaju szkodliwego oprogramowania jest obarczony wieloma problemami. Większość komputerów nie wykorzystuje BIOS-u AWARD. Entuzjaści mogą próbować „wymyślić” coś podobnego do Mebromi również dla innego BIOS-u. Jednakże stworzenie uniwersalnego kodu dla wszystkich typów BIOS-u nie byłoby łatwe, ponieważ producenci stosują różne rozmiary i różne komponenty. Co więcej, ilość pamięci przeznaczonej na BIOS jest minimalna i po prostu może nie wystarczyć miejsca na szkodliwy kod. Z drugiej strony, twórcy wirusów mogą być bardziej zainteresowani nowszym formatem UEFI, który stopniowo zastępuje BIOS.

Ochrona przed i neutralizowanie tego typu szkodliwego oprogramowania jest wprawdzie trudne, ale nie niemożliwe dla rozwiązań antywirusowych. Same programy antywirusowe mogą zapisywać dane w BIOS-ie, a następnie usuwać wszelkie nadmiarowe dane. Jednak wymaga to dużej ostrożności, ponieważ nawet najmniejszy błąd może uniemożliwić uruchomienie komputera. Od czasu wspomnianego wcześniej wirusa CIH zaczęły pojawiać się płyty główne z zapasowymi chipami BIOS, co oznaczało, że w razie potrzeby można przywrócić BIOS.