Otkriven novi BIOS rootkit: Niwa!mem

Opisi virusa, 11.06.2012, 11:32 AM

Prošle godine istraživači kineske kompanije Qihoo 360 otkrili su prvi rootkit čija je meta BIOS koji je sposoban da iznova i iznova inficira računare, čak i ako se hard disk fizički ukloni i zameni drugim. Rootkit nazvan Mebromi ili MyBios pogađa samo korisnike Award BIOS-a koji koriste matične ploče proizvođača Phoenix Technologies.

Sada su istraživači proizvođača antivirusa kompanije McAfee otkrili novi BIOS rootkit nazvan Niwa!mem koji je prvobitno inficirao MBR ali čija najnovija verzija inficira BIOS.

Malver prepisuje originalni MBR u sektoru 0 i postavlja svoj dodatni deo (downloader) u skriveni MBR sektor. DLL se kopira u Recycle folder a zatim se prividno se prividno briše. Downloader se postavlja i izvršava svaki put kada se sistem (Windows) startuje.

Sve ubačene komponente će biti prisutne u DLL, uključujući i fajl proizvođača BIOS-a cbrom.exe, koji malver koristi za flešovanje BIOS-a.

Award BIOS je i dalje meta, a iako ima nekih izmena u kodu malvera, ima i mnogo sličnosti u kodu zbog čega istraživači veruju da ista grupa koja je razvila Mebromi stoji i iza rootkit-a Niwa!mem.

S obzirom da su se dva BIOSkit malvera otrkivena jedan za drugim u relativno kratkom roku istraživači očekuju da treba očekivati i nove malvere ovog tipa u budućnosti. Infekciju MBR nije teško otkriti ni ukloniti, ali uklanjanje infekcije BIOS-a biće izazov za proizvođače antivirusa, smatraju stručnjaci.