Vírusy a rootkity sa môžu ukryť aj v ... BIOSe

DSL.sk, 29.1.2006

Na nebezpečenstvo možnosti ukrytia škodlivého kódu ako vírusy a rootkity vo flash pamäti základných dosiek počítačov v BIOSe pomocou nových techník upozornil minulý týždeň bezpečnostný expert John Heasman.

Užívateľom sa v takom prípade nepomôže zbaviť škodlivého kódu ani preformátovanie disku a preinštalovanie operačného systému.

John Heasman upozornil na nové techniky umožňujúce sa škodlivému kódu ukryť v BIOSe na Black Hat konferencii vo Washingtone. Ukrytie škodlivého kódu v BIOSe je špeciálne nebezpečné v prípade rootkitov, kde následne je rootkit neodhaliteľný operačným systémom ani antivírusovým softvérom.

Doteraz ale podľa známych informácií neboli zaznamenané žiadne výskyty škodlivého kódu využívajúceho túto možnosť. Časť počítačov je chránená pred takýmto druhom infikovania PC zákazom zapisovať do BIOS flash pamäti. V poslednej dobe má ale väčšina PC a základných dosiek túto možnosť povolenú pre možnosť aktualizácie BIOSu napríklad pre podporu čoraz častejšie vydávaných nových procesorov.

Podľa niektorých expertov na konferencii, napríklad Grega Hoglunda zo spoločnosti HBGary, nebude trvať ani mesiac, kým škodlivý kód a rootkity začnú využívať túto možnosť. Podľa Hoglunda využívať tieto techniky je pomerne jednoduché.

Heasman popísal techniky, pomocou ktorých sa škodlivý kód môže do BIOSu dostať využitím možnosti doprogramovať správanie Advanced Configuration and Power Interface (ACPI) subsystému pomocou programovacieho jazyka ACPI Machine Language (AML). Inštrukcie v jazyku AML sú uložené priamo vo flash pamäti BIOSu a neodstráni ich tak ani preinšalovanie systému a preformátovanie disku. ACPI navyše zabezpečí ich spustenie pri aktivovaní funkcie, pre ktorú boli nastavené.

ACPI je subsystém zodpovedný za správu periférií, za manažovanie suspend stavov počítača a ďalšie funkcie a je podporovaný v prakticky každom dnes predávanom PC.


Najnovšie články:



Diskusia:

Martin Od: Martin | Pridané: 29.1.2006 17:46 Asi sa mame na co tesit Odpovedať Známka: -6.0 Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 29.1.2006 18:06 NOD32 ma od januara 2006 proaktivnu detekciu rootkit virusov. ;) http://www.eset.com/about/press.htm#rootkit Odpovedať Známka: 8.9 Hodnotiť:

tom Od: tom | Pridané: 29.1.2006 18:15 obavam sa, ze v tomto pripade to nepomoze, kedze o tom v tom case este urcite nevedeli a skor je to ochrana proti hookovaniu na win api... ale ved uvidime, ako si s tym antiviraci poradia Odpovedať Známka: -7.3 Hodnotiť:

Ferdo Od: Ferdo | Pridané: 29.1.2006 19:31 Ako vies, ze o tom nevedeli? Myslis, ze ako prvy na svete na to prisiel chlapik, ktory sa spomina v tomto clanku? Odpovedať Známka: -6.5 Hodnotiť:

tom Od: tom | Pridané: 29.1.2006 19:33 urcite skor ako ludia v esete... Odpovedať Známka: 6.7 Hodnotiť:

maX Od: maX | Pridané: 29.1.2006 19:04 Dufajme ze EFI bude proti podobnym srandam dostatocne chranene. Odpovedať Známka: 0.0 Hodnotiť:

Gyrxiur Od: Gyrxiur | Pridané: 29.1.2006 19:51 Tak som si v biose zakazal flashnutie a je to... Odpovedať Hodnotiť:

einstein Od: einstein | Pridané: 29.1.2006 21:41 A ako sa to robi? Odpovedať Známka: -8.9 Hodnotiť:

enemy Od: enemy | Pridané: 29.1.2006 22:12 Ja mam ACPI vypnute v BIOSE :) Odpovedať Známka: 6.7 Hodnotiť:

jopo Od: jopo | Pridané: 29.1.2006 22:41 a to nepouzivas standby? alebo pouzivas hibernate? alebo ani jedno? hmm :) Odpovedať Známka: -9.0 Hodnotiť:

enemy Od: enemy | Pridané: 29.1.2006 23:56 Nepouzivam nic z toho, este aj USB som mal vypnute, ale kvoli monitoru som si ho zapol (IIYAMA) potreboval som rozbocovac na mobil a kameru :) PS: Windows sa rychlejsie startuje :) a ide aj o poznanie lepsie Odpovedať Známka: -8.9 Hodnotiť:

enemy Od: enemy | Pridané: 29.1.2006 23:54 Ja mam ACPI vypnute v BIOSE :) Odpovedať Hodnotiť:

Lefo Od: Lefo | Pridané: 30.1.2006 9:27 Zaujimave je to ze bios este napadnuty ani nebol a do predu sa o tom hovori. Asi treba dat navod kde vsade este sa da virusom poskodzovat a potom hrabkat peniazky za antivir a ochranu...alebo za Bios novej generacie zarucene imunny proti virusom...Billy do toho!!!!! Odpovedať Hodnotiť:

Ochrana Od: Ochrana | Pridané: 30.1.2006 12:30 HW ochrana a ziadne problemy trebars: http://www.entergame.sk/index.php?option=com_content&task=view&id=19&Itemid=35 Odpovedať Hodnotiť:

|(0|(07 reklamowy Od: |(0|(07 reklamowy | Pridané: 30.1.2006 19:35 Pochybujem ze to obnovuje aj BIOS, totiz nic take vo vlastnostiach nemenuju... Takze nepchaj sem zbytocne svoju reklamu. Odpovedať Známka: -3.3 Hodnotiť:

ochrana Od: ochrana | Pridané: 31.1.2006 8:46 reklamu si nerobin som len pouzivatel a ochranuje to aj bios Odpovedať Známka: 9.0 Hodnotiť:

noname Od: noname | Pridané: 30.1.2006 16:48 neviem, kde nato to chodia, ale pokial si dobre pamatam, tak napadnutie biosu virusom a schovanvanie sa vo flash, je tu uz od cias biosu samotneho. no co uz, ked niekto zaspi dobu, tak potom moze detom vysvetlovat, co vsetko sa da. Odpovedať Známka: 6.5 Hodnotiť:

ren00r Od: ren00r | Pridané: 31.1.2006 1:07 hej, lenze vtedy sa viry ukryvali do trochu inej oblasti, ktora mala jedno veeeeelmi podstatne obmedzenie na velkost, radovo jednotky bajtov a ak ma pamat neklame ta 64 Odpovedať Známka: 1.4 Hodnotiť:

inspector Od: inspector | Pridané: 9.10.2006 14:22 pockat to akoze nepomoze reset BIOSu??? vyberies baterku na pol dna a potom BIOS nanovo nastavis??? fuc-k tak to je blbe :-/// heh Odpovedať Známka: 0.0 Hodnotiť:

Pomoc Od: Loser | Pridané: 9.6.2008 10:38 Napadol mi ten vírus počítač. Neviem čo s ním mám robiť. Stále mi chaoticky pohybuje myšou. Odpovedať Hodnotiť:

Pridať komentár