Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Novo vírus se aloja no BIOS e não vai embora com formatação do disco

O vírus em si só afeta Windows (e só o 2000, XP e 2003), mas a existência de mais uma (em 2010 ocorreu outra) confirmação prática da possibilidade de inserir malware persistentemente armazenado no BIOS de placas-mãe disponíveis no mercado certamente interessa a quem acompanha a área.

Via g1.globo.com:

O vírus é composto de três partes: a primeira infecta o chip de BIOS; a segunda altera o Registro Mestre de Inicialização (MBR) e uma terceira é incluída em arquivos de sistema do Windows. Caso uma delas não seja removida, a infeção inteira é capaz de se reestabelecer.

Como o software de BIOS difere bastante de uma placa-mãe para outra, o vírus, batizado de Mebromi, é apenas capaz de infectar placas que usam a Award BIOS. A praga usa a ferramenta conhecida como CBRom, que realiza modificações em BIOS da Phoenix-Award. O vírus também só funciona em Windows 2000, XP e 2003.


• Publicado por Augusto Campos em 2011-09-14

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Bremm (usuário não registrado) em 14/09/2011 às 2:51 pm

    Sinto cheiro de café requentado…

    http://antivirus.about.com/library/virusinfo/blcih.htm

    Cromm (usuário não registrado) em 14/09/2011 às 3:42 pm

    Maneiro!

    Dá até vontade de criar um vírus desse só pra inutilizar computadores que usem windows… mwahahaha!!!

    São cafés bem diferentes, né? o Chernobyl sobrescrevia o conteúdo do BIOS para inutilizá-lo e impedir boots subsequentes, e estes novos vírus mencionados no artigo (os dos anos recentes e este agora noticiado) colocam no BIOS código malicioso para ser executado a cada boot.

    rogerio (usuário não registrado) em 14/09/2011 às 5:23 pm

    Curiosidade, isso afetaria maquinas virtuais, os windao que rodamos dentro das vm da vida?

    José Luís (usuário não registrado) em 14/09/2011 às 6:07 pm

    @Bremm, como disse @Augusto, talvez não seja exatamente “café requentado”, mas um caso de evolução, como ocorre na natureza.

    @rogerio, tenho a mesma dúvida que você…

    Bob Esponja (usuário não registrado) em 14/09/2011 às 6:55 pm

    Eu conheço outro vírus de firmware: o ubuntu 11.04.
    Experimenta instalá-lo em um mac intel qualquer no modo EFI para ver o que acontece…

    Anderson Araujo (usuário não registrado) em 14/09/2011 às 7:19 pm

    Rogerio, pela logica nao afetaria pois a vm utiliza uma bios virtual, separada da maquina real.

    kashmir (usuário não registrado) em 14/09/2011 às 7:36 pm

    Mais sobre o assunto: http://www.phrack.com/issues.html?issue=66&id=7#article

    Bremm (usuário não registrado) em 14/09/2011 às 9:28 pm

    O CIH não conseguia agir efetivamente em todos os modelos de BIOS disponíveis. E se entendi perfeitamente, este consegue apenas “funcionar” caso a BIOS seja Phoenix-Award, não sendo compatível com BIOS de outros fabricantes.

    Ademais, o assunto não é novidade. Um francês (Guillaume Delugré), ano passado, provou ser possível colocar rootkits em placas de rede.

    Quero frisar que de forma alguma o fato de não ser novidade desmerece a publicação da mesma (ou seja, tá valendo!).

    Esse virus….

    …tem uma tática mais velha que andar pra trás.

    Me lembro de um virus….não lembro se era uma variação do Stoned ou qualquer outra da época do MSDOS, que fazi a exatamente isso.

    Se instalava na BIOS e não importava se vc formatava a máquina ou não, lá estava ele.

    O jeito era retirar as baterias….esperar uns 5 minutos …bootar com um diquete limpo e formatar a máquina a partir dali.

    []‘s
    PopolonY2k

    Julien (usuário não registrado) em 15/09/2011 às 8:08 am

    Por isso eu digo, use Linux !

    Bremm, a descrição do CIH na página que você indicou não vai nessa direção, acho – ela só afirma que ele inutilizava o BIOS. E 2 outros episódios anteriores do mesmo tipo de comportamento do vírus desta semana inclusive estão mencionados na notícia referenciada, e 1 deles no meu texto introdutório. Me parece que são vários novos cafés, sem requentá-los, e que você não precisaria identificar apenas pelo olfato, uma vez que já haviam sido mencionados na hora de servir o novo.

    Servir um café recém passado, mas por uma receita pouco comum mas que já foi experimentada antes, é diferente de servir café requentado, e descrever assim não ofende o cozinheiro nem quem serviu.

    Renato (usuário não registrado) em 15/09/2011 às 9:25 am

    E o site da Linux Foundation continua fora do ar até hoje…

    Carlos (usuário não registrado) em 15/09/2011 às 10:45 am

    “E o site da Linux Foundation continua fora do ar até hoje…”

    Não precisei formatar meu Ubuntu por causa disso, precisei? ;)

    Bremm (usuário não registrado) em 15/09/2011 às 11:49 am

    @Augusto

    Infelizmente a descrição é incompleta. Como não considero a Wikipedia como fonte fiável, vou fazer uma breve introdução dentro daquilo que ainda lembro.

    Na época, entre 1996-2001, os BIOS mais comuns eram a AMI (American Megatrends Inc., que tinha até suporte a mouse e era gráfica) e a Phoenix (ainda não havia a associação com a Award). Na época eu usava o BIOS Savior da IOSS combinado com os “flashers” para MS-DOS disponíveis. Já o site abaixo era referência para encontrar o BIOS correto para cada modelo de placa-mãe:

    http://www.wimsbios.com/biosupdates.jsp

    AMI, Phoenix e Award eram afetadas, mas não em sua totalidade (aquelas AMI com modo gráfico não eram atingidas por todas as variantes do CIH). Somado a isso, alguns integradores como Packard Bell e Compaq usavam sistemas diferentes em algumas placas-mãe, onde não havia a possibilidade do CIH instalar-se no BIOS, anulando a facilidade de replicação dele em caso de formatação do HD. Haviam também diferenças entre os BIOS de 128 KB (1 Mbit) e 256 KB (2 Mbit) que faziam com que o vírus eventualmente não fosse ativado na data ou corrompesse o BIOS no momento da infecção, impedindo o funcionamento após desligar o PC.

    Concluindo: a única diferença (básica) que vejo nesse vírus novo comparando-o ao CIH, é que ele não inutiliza o hospedeiro. Isso em decorrência da falta de detalhes por quem noticiou o acontecimento… (G1, however)

    O que vejo hoje como “facilitante” para esse tipo de praga é o espelhamento de BIOS usando em diversos modelos de placas-mãe, onde é possível ter cópias de versões diferentes de BIOS caso haja algum contratempo na atualização das mesmas — se me recordo bem, a Gigabyte e a ABIT tinham esse tipo de recurso.

    Assim que eu tiver mais informações (detalhadas) do funcionamento deste novo vírus, prometo colocá-las aqui. Por ora, só encontrei uma explicação bem superficial, pois não detalha para quê serve o Mebromi. Nos comentários dessa postagem há um “ovo de páscoa”, apontando para um artigo interessante de como explorar o BIOS para incluir nele código malicioso.

    O meu chute: o Mebromi pode ser usado como “trampolim” para criação de uma botnet.

    Mas não inutilizar o hospedeiro é uma diferença profunda, né? Tanto quanto ao nefasto propósito prático, quanto à forma de operação. Ainda que as únicas diferenças sejam as apontadas por ti, continuam me parecendo 2 cafés bem distintos! Café requentado, pra mim, seria um servido anos depois, fazendo só o que o Chernobyl já fazia, e afetando só às classes de sistemas e equipamentos que o Chernobyl afetava.

    Os exemplos do ano passado e deste ano são cafés recém-passados e quentinhos, feitos com a mesma marca de pó.

    Bremm (usuário não registrado) em 15/09/2011 às 12:36 pm

    @Augusto

    Sim, é uma evolução do CIH. O que eu vejo como termo de comparação (e daí vem a história do café requentado) é que um vírus como o Mebromi é praticamente inútil sem haver conexão à internet em seus hospedeiros. Claro, isso comparando o cenário de 1998 com o de 2011. Não sei em quantas vezes aumentou o número de computadores conectados a internet nesse período, mas falando em termos percentuais, hoje quase todo PC está conectado a internet. Em 1998, a predominância era dial-up (ISDN no Brasil era raro) e muitos computadores não tinham conexão à internet. Nas minhas lembranças (e falando da região metropolitana de Porto Alegre), 1 em cada 5 PCs domésticos tinham internet e 1 em cada 20 nas escolas (ou até menos). Só na Universidade é que todos os PCs eram interligados e tinham conexão a internet. Um vírus como o Mibromi naquela época até seria menos nocivo que o CIH, pois não inutilizaria o hardware. Mas também não iria se replicar com a mesma facilidade.

    A título de curiosidade (para quem não sabe ou não passou por isso), era comum o pessoal mudar o relógio interno (no BIOS) para uma data além da marcada para o CIH funcionar. Isso era praxe para qualquer vírus que possuía uma data de atuação (Michelangelo?), apesar de não ser comprovada a eficácia do método.

    Como havia prometido acima, um artigo que remete a outras análises (inclusive uma em chinês), sobre o funcionamento do Mibromi.

    http://www.theregister.co.uk/2011/09/14/bios_rootkit_discovered/

    Augusto, perdoe-me se estou sendo chato em insistir na história do “café requentado”, pois não vejo diferença considerável entre o Mibromi e o CIH, pois há um desequilíbrio entre funcionalidade e alcance. Se um dia sair um vírus como o Mibromi que tiver o mesmo (amplo) espectro do CIH (conseguir infectar quase tudo que é BIOS disponível), aí eu mudo o meu discurso. Até lá, creio que o atual se encaixa bem (equivalente a usar aspartame ao invés de sacarose em dois cafés novinhos).

    Sim, perdôo.

Este post é antigo (2011-09-14) e foi arquivado. O envio de novos comentários a este post já expirou.