У мережі виявлений черговий руткіт для BIOS

admin Новини ІТ-безпеки

У мережі виявлений черговий руткіт для BIOSПредставники компанії McAfee виявили руткіт, який вражає BIOS. Руткіт отримав назву Niwa! Mem і спочатку інфікував головний завантажувальний запис (Master Boot Record, MBR).

«Шкідлива програма перезаписує MBR в сектор 0, а потім записує файл« the downloader», який завантажується в приховані сектори. DLL копіює себе в папку кошика, і видаляється. «The downloader» запускається кожного разу при запуску системи», - заявляють дослідники.

«Всі завантажені компоненти будуть присутні в DLL, включаючи утиліту cbrom.exe від виробника BIOS, яку шкідлива програма використовує для прошивки BIOS», - наголошується в звіті McAfee.

Експерти відзначають, що новий руткіт для BIOS був розроблений за прикладом раніше виявленої шкідливої програми Mebromi, яка була націлена на користувачів Award BIOS, присутніх в материнських платах компанії Phoenix Technologies.

«Ми вже зафіксовані дві шкідливі програми, націлені на BIOS ... Коли перша з них була виявлена, ми не знали через скільки часу з'явиться друга. Тепер ми повинні чекати зіткнення з новими (ред. - руткитами) найближчим часом», - заявили дослідники, відзначивши, що створити засоби безпеки і очищення від BIOS-руткіта буде складно для софтверних компаній.

Експерти відзначають, що антивірусне рішення має бути розроблено без найменших помилок для того, щоб уникнути випадків, коли система взагалі не буде завантажуватися. Розробкою специфічного антивірусного рішення повинні займатися фахівці, які створили конкретну модель материнської плати, випускають оновлення для BIOS, а також спеціальні інструменти для поновлення коду BIOS.