Una società cinese produttrice di soluzioni antivirus ha comunicato di aver individuato un nuovo malware, da poco apparso sulla scena internazionale, che sarebbe in grado di infettare il BIOS del personal computer garantendosi la possibilità, da un lato, di avviarsi ad ogni accensione del sistema e dall’altro di passare inosservato all’azione dei principali software per la sicurezza.
L’idea di inserire del codice dannoso all’interno del BIOS (insieme di routine software, generalmente scritte su ROM, FLASH od altra memoria non volatile, che fornisce una serie di funzioni di base per l’accesso all’hardware e alle periferiche integrate nella scheda madre da parte del sistema operativo) non è nuova. Nel 1998, il virus CIH aveva come peculiarità proprio quella di tentare la modifica del contenuto del BIOS: tale malware, tuttavia, aveva però soltanto un effetto distruttivo. Il BIOS, infatti, veniva in quel caso completamente sovrascritto ed il computer non era così più in grado di avviarsi normalmente.
Diverso l’approccio utilizzato dalla minaccia da poco rilevata in Rete. “Mebromi“, questo il nome del malware, una volta andato in esecuzione sul sistema dell’utente-vittima, provvede innanzi tutto a controllare che sul computer sia utilizzato un Award BIOS. In caso affermativo, ricorre al comando CBROM
per “estendere” le funzionalità del BIOS agganciandovi delle routine maligne.
Non appena il personal computer verrà riavviato, il codice malevolo inserito all’interno del BIOS provvederà a modificare il contenuto del “Master Boot Record” (MBR) del disco fisso in modo tale da infettare alcuni processi necessari per il funzionamento di Windows 2000, Windows XP e Windows Server 2003.
Al successivo riavvio di Windows, il malware scaricherà un componente rootkit per prevenire il ripristino del corretto contenuto del master boot record da parte, ad esempio, di un software antivirus.
“Mebromi“, però, sopravviverà anche se il disco fisso del sistema infetto venisse completamente ripulito attraverso l’eliminazione del rootkit, il ripristino dei file di Windows e del contenuto del MBR. Il malware, infatti, riesce a garantirsi una puntuale esecuzione ad ogni avvio del sistema proprio grazie al fatto di essersi insediato all’interno del BIOS. Per lo stesso motivo, “Mebromi riuscirebbe a riattivarsi anche nel caso di sostituzione del disco fisso.
Marco Giuliani, Threat Research Analyst di Webroot, afferma di essere già in possesso di un campione del malware. Al momento “Mebromi” non sarebbe in grado di infettare i sistemi a 64 bit né di compiere alcuna “nefandezza” da account utente non dotati dei diritti amministrativi. Per guadagnare l’accesso al BIOS, spiega Giuliani, “Mebromi” deve essere eseguito in modalità kernel in modo che possa essere così in grado di gestire la memoria fisica piuttosto che quella virtuale.
Senza andare a scomodare il virus CIH/Chernobyl del 1998, Giuliani ricorda che anche nel 2007 il rootkit IceLord aveva presentato un approccio, per l’infezione del BIOS, che ricorda estremamente da vicino quello impiegato dagli autori di “Mebromi“.
“Lo sviluppo di un software antivirus in grado di esaminare il contenuto del BIOS ed eventualmente ripulirlo è una scommessa“, aggiunge l’esperto. “Un prodotto in grado di compiere un intervento del genere, dovrebbe essere sicuro di operare senza la benché minima possibilità d’errore. Diversamente, rischierebbe di rendere il personal computer dell’utente assolutamente inavviabile“. Giuliani ritiene che il problema debba essere seriamente trattato, invece, dai produttori delle schede madri.
Il ricercatore di Webroot (ved. anche quest’intervento) ritiene comunque che una minaccia come “Mebromi” possa difficilmente diffondersi su larga scala: un rootkit capace di insediarsi sul BIOS dovrebbe essere “pienamente compatibile” con una vasta gamma di BIOS (Award, Phoenix, AMI,…). Gli autori dei malware, insomma, potrebbero non aver la necessità di spingersi così in avanti: malware come TDL, Rustock e ZeroAccess sono minacce, purtroppo, estremamente ricorrenti che non hanno avuto bisogno di arrivare a tanto.