Vírusy a rootkity sa môžu skrývať aj v PCI kartách

DSL.sk, 21.11.2006

Počítačové vírusy a najmä nedetekovateľné rootkity sa môžu ukryť aj do BIOSu PCI, AGP a PCI Express kariet a aktivovať sa po spustení Windows, informoval IT-bezpečnostný expert John Heasman.

Užívateľom sa v takom prípade nepomôže zbaviť škodlivého kódu ani preformátovanie disku a preinštalovanie operačného systému. Pri takomto spôsobe ukrytia a aktivácii rootkitu sú navyše minimálne šance na jeho detekciu.

Škodlivý kód sa môže ukryť do BIOSu PCI kariet ako sú napríklad grafické karty a sieťové karty vybavené softvérovo prepisovateľnou v súčasnosti častejšie používanou EEPROM pamäťou.

Pre čoraz častejšie upgradovanie firmwaru dnešné karty väčšinou umožňujú nahrať nový firmware bez prepnutia mechanického prepínača. Heasman popísal, ako sa u takýchto kariet môže škodlivý kód transparentne nainštalovať do BIOSu karty a aktivovať na viac krokov postupnou modifikáciou pamäti po spustení Windows bez zmeny obsahu disku.

To znamená, že prípadný dobre implementovaný rootkit ukrývaný a aktivovaný takýmto spôsobom by bol prakticky nedetekovateľný, teoreticky len okrem prípadu, keď bude pri štarte PC zakázaná aktiváciu BIOSu prídavnej karty.

Heasman už na začiatku roka informoval o možnosti ukryť vírusy a rootkity v ACPI Machine Language do bežného BIOSu základných dosiek. Doteraz ale nebol zverejnený žiadny reálny kód využívajúci tento spôsob.

V prípade BIOSu PCI kariet je možné podľa Heasmana takýto škodlivý kód relatívne ľahko vytvoriť, v súčasnosti sa ale nepredpokladá široké rozšírenie takýchto techník. Heasman ale upozorňuje, že použitie takéhoto spôsobu ukrytia rootkitu môže byť použité v cielených útokoch.

Správu je možné sťahovať tu (PDF súbor).


Najnovšie články:



Diskusia:

Tommy Od: Tommy | Pridané: 21.11.2006 11:40 sa má človek načo tešiť, dufam že niekto múdry vymyslí nejaký fajn antivir alebo niečo Odpovedať Hodnotiť:

mr.ch Od: mr.ch | Pridané: 21.11.2006 11:53 pc bez netu... jedine.. ale to by som si sadol z mercedesu do skodovky... a to by som nechcel... Odpovedať Hodnotiť:

dfas Od: dfas | Pridané: 21.11.2006 14:48 alebo unix Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 21.11.2006 12:28 Naco stale pisat kde virusy mozu byt, staci napisat, kde nemozu byt, take miesto ani nie je. :'( Odpovedať Hodnotiť:

Hakuka Od: Hakuka | Pridané: 21.11.2006 16:47 to som este nikdy nevidel virusa v monitore:)) Odpovedať Hodnotiť:

PaloD Od: PaloD | Pridané: 21.11.2006 22:29 Hehehe.....alebo v myši....nie v ovládači, ale v HW... Odpovedať Hodnotiť:

Stevko Od: Stevko | Pridané: 21.11.2006 12:36 Predpokladám, že sa škodlivý kód do karty nemôže dostať, pokiaľ nemá administrátorské práva. Takže treba pracovať s obmedzenými právami a tým riziko aspoň zmenšíme. Odpovedať Hodnotiť:

Fero Od: Fero | Pridané: 21.11.2006 13:59 Pokial nepracujes ako root a nie je nic specialneho nastavene tak mozes zapisovat len do domovskeho priecinka takze riziko je nulove. Odpovedať Hodnotiť:

xXx Od: xXx | Pridané: 21.11.2006 14:41 a ked uz tak virus dostanem ako sa ho mozem zbavit? Preinstalovat firmware? Odpovedať Hodnotiť:

Uhlik Od: Uhlik | Pridané: 21.11.2006 17:28 same dohady a skutek utek ... rovnako ako Rutkowskej pilulky na paranoju ;) ... Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 21.11.2006 21:52 Co su to tie rootkity - škodlivy kod ale dalej.... Odpovedať Hodnotiť:

major zeman Od: major zeman | Pridané: 22.11.2006 17:56 co dalej? Odpovedať Hodnotiť:

einstein Od: einstein | Pridané: 22.11.2006 20:53 no,ze ake skody taky nedetekovatelny virus moze napachat.lebo ked sedi sebe tak ticho,ze o nom nik nevie a nijako sa neprejavi,tak ho vlastne mozem mat kdesi,nie?lebo mi vlastne neprekaza.a tak tupy predsa nie som aby som na svojom kompe drzal citlive informacie.takze mi z neho prd ukradnu. Odpovedať Hodnotiť:

000 Od: 000 | Pridané: 22.11.2006 14:16 no co uz, vsetok hardware budeme strkat do prezervativov :) Odpovedať Hodnotiť:

Pridať komentár