Alfonso Maruccia

Mebromi, c'č un rootkit nel BIOS

Una nuova minaccia, pensata per essere persistente interagendo con le "parti basse" dell'hardware informatico. Ma i rischi epidemici sono bassi

Roma - Reminiscenza di vecchi virus per Win9x o potente bootkit pensato per essere resistente contro qualsiasi tentativo di rimozione da parte del software antivirale? Fa discutere il nuovo malware scoperto "in-the-wild", un rootkit progettato per eseguire il "flash" del BIOS di sistema e infettare le componenti basilari di disco e sistema operativo così da resistere all'eventuale contrattacco di antivirus e antimalware.

Mebromi, questo il nome con cui è stato ribattezzato il nuovo rootkit da BIOS, è capace di infettare la ROM del BIOS Award prodotto da Phoenix Technologies, trasferendo una parte del suo codice all'interno del microchip responsabile delle primissime fasi del bootstrap di ogni PC.

Dal BIOS Mebromi si muove poi per infettare il Master Boot Record del disco fisso (il settore 0 del disco a cui il BIOS passa il controllo dell'esecuzione alla fine della fase di bootstrap), attivando infine un rootkit di livello kernel in Windows per nascondere l'infezione al sistema operativo e ai software antivirus.
Stando a Marco Giuliani, noto ricercatore di sicurezza italiano impiegato presso la security enterprise Webroot, Mebromi è "potenzialmente una delle infezioni più persistenti note oggi in circolazione", nondimeno il rischio che si diffonda a livelli preoccupanti è minimo per via della delicatezza delle operazioni di basso livello che è progettato per compiere al fine di infettare una macchina.

Alfonso Maruccia
Notizie collegate
  • SicurezzaRootkit a 64bit e sicurezza MacUn nuovo agente malevolo per Windows installa un (sin qui) inusuale driver a 64bit privo di firma digitale per una campagna di phishing contro istituti bancari brasiliani. La sicurezza č un argomento sempre caldo: anche su Mac
  • SicurezzaTDSS, la botnet di ferroUn ricercatore di Kaspersky analizza l'ultima variante del rootkit pių "scafato" attualmente in circolazione, mettendo in evidenza i punti forti di quella che definisce una botnet indistruttibile
82 Commenti alla Notizia Mebromi, c'č un rootkit nel BIOS
Ordina
  • Hanno scoperto l'acqua calda? io son 10 anni che ho una bestia cosi che mi sposto da pc a pc ed è creata da italiani, vanno in giro ad infettare i pc della gente nelle chat.
    non+autenticato
  • Possibile scenario:

    1) DNS poisoning per reindirizzare siti regolari (penso ad esempio a produttori di driver...) verso indirizzi malevoli. Attività relativamente semplice che recentemente è stata portata a termine più volte.

    2) download del trojan: gli utenti credono di scaricare software validi (in fondo sono andati sul sito ufficiale, no?).

    3) esecuzione del trojan "vestito", ad esempio, da driver o utility nota: nessun problema ad ottenere le conferme necessarie da parte dell'utente per l'elevazione dei privilegi.

    4) il rootkit si installa anche nel BIOS, fa praticamente ciò che vuole dei dati del malcapitato e toglierlo è potenzialmente molto difficile.

    Non mi sembra che nemmeno chi usa linux possa sentirsi troppo al sicuro: modificare il rootkit per farlo diventare una sorta di cross-platform non è impossibile ed anche l'accesso ai repo passa dalla traduzione nome/indirizzo dei DNS...
    non+autenticato
  • - Scritto da: logicamente non loggato
    > Possibile scenario:
    >
    > 1) DNS poisoning per reindirizzare siti regolari
    > (penso ad esempio a produttori di driver...)
    > verso indirizzi malevoli. Attività relativamente
    > semplice che recentemente è stata portata a
    > termine più
    > volte.
    >

    già successo 1 settimana fa.
    http://www.webnews.it/2011/09/05/dns-manomessi-i-c.../

    > 2) download del trojan: gli utenti credono di
    > scaricare software validi (in fondo sono andati
    > sul sito ufficiale,
    > no?).

    idem (utorrent) 2 giorni fa

    >
    > 3) esecuzione del trojan "vestito", ad esempio,
    > da driver o utility nota: nessun problema ad
    > ottenere le conferme necessarie da parte
    > dell'utente per l'elevazione dei
    > privilegi.
    >

    cose 'old' ormaiA bocca aperta

    > 4) il rootkit si installa anche nel BIOS, fa
    > praticamente ciò che vuole dei dati del
    > malcapitato e toglierlo è potenzialmente molto
    > difficile.
    >

    appuntoA bocca aperta

    > Non mi sembra che nemmeno chi usa linux possa
    > sentirsi troppo al sicuro: modificare il rootkit
    > per farlo diventare una sorta di cross-platform
    > non è impossibile ed anche l'accesso ai repo
    > passa dalla traduzione nome/indirizzo dei
    > DNS...

    visto che nessu so è sicuro, ti rigirano sulla pagina creata ad hoc con le vulnerabilitànon acora scoperte/patchate ed il gioco è fatto. (Pwn2Own insideA bocca aperta )
  • - Scritto da: logicamente non loggato
    > Possibile scenario:
    >
    > 1) DNS poisoning per reindirizzare siti regolari
    > (penso ad esempio a produttori di driver...)
    > verso indirizzi malevoli. Attività relativamente
    > semplice che recentemente è stata portata a
    > termine più
    > volte.
    >
    > 2) download del trojan: gli utenti credono di
    > scaricare software validi (in fondo sono andati
    > sul sito ufficiale,
    > no?).
    >
    > 3) esecuzione del trojan "vestito", ad esempio,
    > da driver o utility nota: nessun problema ad
    > ottenere le conferme necessarie da parte
    > dell'utente per l'elevazione dei
    > privilegi.
    >
    > 4) il rootkit si installa anche nel BIOS, fa
    > praticamente ciò che vuole dei dati del
    > malcapitato e toglierlo è potenzialmente molto
    > difficile.
    >
    > Non mi sembra che nemmeno chi usa linux possa
    > sentirsi troppo al sicuro: modificare il rootkit
    > per farlo diventare una sorta di cross-platform
    > non è impossibile ed anche l'accesso ai repo
    > passa dalla traduzione nome/indirizzo dei
    > DNS...


    bravo , ottimo ,bis

    come ben vedi oramai si basa tutto sull'inganno del niubbo lasciando stare la corruzione dei server DNS che reindirizzano verso siti tarocchi appositamente creati al posto di quelli originali e che sono casi eccezionali e della durata di qualche minuto perchè poi se ne accorgono e si sistemano sulle reti   ..

    a questo tipo di inganno a.k.a social enigineering/ingegneria sociale    non si salva nessun sistema operativo nel far installare software malevolo    ..nemmeno Osx di cui fai tanto tifo da stadio con le bandiere alla mano e vuvuzela in bocca visti anche i risvolti col MacDefender che ha contaminato 300000 sistemi Osx in nemmeno 1 mese dalla sua diffusione sulla rete circa 3 mesi fa ..se poi aggiungiamo le 2 applet java malevole che con un solo click ingannando il niubbo su Osx facevano installare il trojan   bypassando la password amministrsatore e tutti i trojan dentro ai package installer nei .dmg presi dal p2p come Photoshop, iWork 2009 ,Cubase e molti altri vedo hai gia' capito tutto

    questo e' il target d'attacco oggi.. ingannare gli utenti senza nemmeno piu' sfruttare falle del browser o chissà quale altro software presente sul sistema
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: logicamente non loggato
    > > Possibile scenario:
    > >
    > > 1) DNS poisoning per reindirizzare siti
    > regolari
    > > (penso ad esempio a produttori di driver...)
    > > verso indirizzi malevoli. Attività
    > relativamente
    > > semplice che recentemente è stata portata a
    > > termine più
    > > volte.
    > >
    > > 2) download del trojan: gli utenti credono di
    > > scaricare software validi (in fondo sono
    > andati
    > > sul sito ufficiale,
    > > no?).
    > >
    > > 3) esecuzione del trojan "vestito", ad
    > esempio,
    > > da driver o utility nota: nessun problema ad
    > > ottenere le conferme necessarie da parte
    > > dell'utente per l'elevazione dei
    > > privilegi.
    > >
    > > 4) il rootkit si installa anche nel BIOS, fa
    > > praticamente ciò che vuole dei dati del
    > > malcapitato e toglierlo è potenzialmente
    > molto
    > > difficile.
    > >
    > > Non mi sembra che nemmeno chi usa linux possa
    > > sentirsi troppo al sicuro: modificare il
    > rootkit
    > > per farlo diventare una sorta di
    > cross-platform
    > > non è impossibile ed anche l'accesso ai repo
    > > passa dalla traduzione nome/indirizzo dei
    > > DNS...
    >
    >
    > bravo , ottimo ,bis
    >
    > come ben vedi oramai si basa tutto sull'inganno
    > del niubbo lasciando stare la corruzione dei
    > server DNS che reindirizzano verso siti tarocchi
    > appositamente creati al posto di quelli originali
    > e che sono casi eccezionali e della durata di
    > qualche minuto perchè poi se ne accorgono e si
    > sistemano sulle reti
    > ..
    >
    > a questo tipo di inganno a.k.a social
    > enigineering/ingegneria sociale    non
    > si salva nessun sistema operativo nel far
    > installare software malevolo   

    > ..nemmeno Osx di cui fai tanto tifo da stadio con
    > le bandiere alla mano e vuvuzela in bocca visti
    > anche i risvolti col MacDefender che ha
    > contaminato 300000 sistemi Osx in nemmeno 1 mese
    > dalla sua diffusione sulla rete circa 3 mesi fa
    > ..se poi aggiungiamo le 2 applet java malevole
    > che con un solo click ingannando il niubbo su Osx
    > facevano installare il trojan   bypassando la
    > password amministrsatore e tutti i trojan dentro
    > ai package installer nei .dmg presi dal p2p come
    > Photoshop, iWork 2009 ,Cubase e molti altri vedo
    > hai gia' capito
    > tutto
    >
    > questo e' il target d'attacco oggi..
    > ingannare
    gli utenti senza nemmeno
    > piu' sfruttare falle del browser o chissà quale
    > altro software presente sul
    > sistema

    Basta usare il proprio "named", su una macchina utilizzata solo a questo scopo, metterlo in traccia e verificare nel log che le richieste gli arrivino.

    Hai voglia a reindirizzare ... Occhiolino

    Orfheo.
  • - Scritto da: Fiber

    > come ben vedi oramai si basa tutto sull'inganno
    > del niubbo lasciando stare la corruzione dei
    > server DNS

    No, la redirezione dei DNS permette proprio di "saltare" il requisito del niubbo. Il ragionamento parte da quello e senza quello diventa un'altra cosa.

    Altri sono i percorsi da seguire per rendere la vita difficile al malware...
    non+autenticato
  • - Scritto da: logicamente non loggato
    > Possibile scenario:
    >
    > 1) DNS poisoning per reindirizzare siti regolari
    > (penso ad esempio a produttori di driver...)
    > verso indirizzi malevoli. Attività relativamente
    > semplice che recentemente è stata portata a
    > termine più
    > volte.
    >
    > 2) download del trojan: gli utenti credono di
    > scaricare software validi (in fondo sono andati
    > sul sito ufficiale,
    > no?).
    >
    > 3) esecuzione del trojan "vestito", ad esempio,
    > da driver o utility nota: nessun problema ad
    > ottenere le conferme necessarie da parte
    > dell'utente per l'elevazione dei
    > privilegi.
    >
    > 4) il rootkit si installa anche nel BIOS, fa
    > praticamente ciò che vuole dei dati del
    > malcapitato e toglierlo è potenzialmente molto
    > difficile.
    >
    > Non mi sembra che nemmeno chi usa linux possa
    > sentirsi troppo al sicuro: modificare il rootkit
    > per farlo diventare una sorta di cross-platform
    > non è impossibile ed anche l'accesso ai repo
    > passa dalla traduzione nome/indirizzo dei
    > DNS...

    su tutte le distro serie i pacchetti sono firmati... l'attaccante dovrebbe prima ottenere la chiave privata di un repo, oppure trovare sw che si aggiornano autonomamente (su gnu/linux?) senza troppi controlli.

    potrebbe anche essere tanto fortunato da essere pronto quando l'utente scarica qualche eseguibile dalla rete, ma credo sia una situazione irrealistica. chissà se il trucchetto con il carattere LRO funziona su nautilus... non trovo niente in rete, ma spero di no
    non+autenticato
  • - Scritto da: yhn

    > su tutte le distro serie i pacchetti sono
    > firmati... l'attaccante dovrebbe prima ottenere
    > la chiave privata di un repo, oppure trovare sw
    > che si aggiornano autonomamente (su gnu/linux?)
    > senza troppi
    > controlli.
    >
    > potrebbe anche essere tanto fortunato da essere
    > pronto quando l'utente scarica qualche eseguibile
    > dalla rete, ma credo sia una situazione
    > irrealistica. chissà se il trucchetto con il
    > carattere LRO funziona su nautilus... non trovo
    > niente in rete, ma spero di
    > no

    Quindi vorresti dire che un utente/utonto che usa una distro linux ad utilizzo casalingo non scaricherebbe mai niente dal web che non siano i soli repository?
    Cioè navigherebbe su internet e non scaricherebbe mai nulla?Anche tediato dall'ingegneria sociale (in qualità di utonto) nell'essere convinto a scaricare e lanciare un qualcosa di utile anche su di una distro?
    Cosa lo userebbe per fare il computer?Perplesso
    non+autenticato
  • Per esempio potrebbero scaricare temi in pacchetti deb (già successo in passato)
    non+autenticato
  • - Scritto da: For teh lulz
    > chi era stato infettato da CIHSorride
    >
    > http://en.wikipedia.org/wiki/CIH_%28computer_virus

    Bei tempi quelli, almeno chi scriveva virus e malware cercava l'evoluzione e la perfezione (vedi ad esempio Dark Avenger).

    http://en.wikipedia.org/wiki/Dark_Avenger

    Mi ricordo F-PROT che stava in un floppy e includeva la banca dati di tutti i virus in circolazione, con descrizioni dettagliate di metodologie e payload.
    Adesso invece ci vuole una wikipedia per i gazillioni di schifezze che circolano e ci sono quasi solo malware il cui unico scopo è quello di rubare numeri di carta di credito...Triste

    Voglio tornare nel 1990.
    non+autenticato
  • - Scritto da: For teh lulz
    > chi era stato infettato da CIHSorride
    >
    > http://en.wikipedia.org/wiki/CIH_%28computer_virus
    Ecchime ... non io direttamente ... ma la macchina di un collega, macchina da laboratorio mai collegata alla rete e su cui nessuno ha mai fatto "giochetti".

    Mandata in riparazione per sostituzione MB, tornata con CIH ... che per fortuna ... non e' riuscito a patchare il BIOS ... ma solo a far danni ad "una" delle FAT, nella data stabilita.

    Chi ha detto che questo di cui si parla e' il "primo"?

    Nel caso lo abbiano detto, e' manifestamente "falso" Occhiolino

    Orfheo
    -----------------------------------------------------------
    Modificato dall' autore il 16 settembre 2011 10.41
    -----------------------------------------------------------
  • Io sono anche stato infettato da AntiExe (non permetteva di eseguire gli .exe (ma va?Sorride ) e One Half (e questo ha fatto parecchi danni, mi aveva cifrato metà hard disk).
    Comunque io ho avuto anche la fortuna di avere come Antivirus il "mitico" Dr SalomonA bocca aperta
    non+autenticato
  • - Scritto da: For teh lulz
    > Io sono anche stato infettato da AntiExe (non
    > permetteva di eseguire gli .exe (ma va?Sorride ) e
    > One Half (e questo ha fatto parecchi danni, mi
    > aveva cifrato metà hard
    > disk).
    > Comunque io ho avuto anche la fortuna di avere
    > come Antivirus il "mitico" Dr Salomon
    >A bocca aperta
    Io ... me stesso ... Occhiolino

    Orfheo.
  • - Scritto da: Orfheo
    > - Scritto da: For teh lulz
    > > Io sono anche stato infettato da AntiExe (non
    > > permetteva di eseguire gli .exe (ma va?Sorride )
    > e
    > > One Half (e questo ha fatto parecchi danni,
    > mi
    > > aveva cifrato metà hard
    > > disk).
    > > Comunque io ho avuto anche la fortuna di
    > avere
    > > come Antivirus il "mitico" Dr Salomon
    > >A bocca aperta
    > Io ... me stesso ... Occhiolino
    >
    > Orfheo.

    All'epoca ero solo un pischello (classe 1986), che era meravigliato dai colori di Windows 3.11 e dai giochetti e clickava/droppava/sterzava/contro-sterzava ovunque.A bocca aperta
    non+autenticato
  • - Scritto da: For teh lulz
    > Io sono anche stato infettato da AntiExe (non
    > permetteva di eseguire gli .exe (ma va?Sorride ) e
    > One Half (e questo ha fatto parecchi danni, mi
    > aveva cifrato metà hard
    > disk).

    Dis is one half.

    Per l'epoca, era uno dei virus più bastardi.

    E vi ricordate Tentacle, uno dei primi virus per Windows? Infettava i programmi di Windows 3.1 (quasi tutti gli altri virus infettavano i programmi per dos: all'epoca, i programmi di windows erano più sicuri), e ne cambiava l'icona, mettendo un tentacolo.
    non+autenticato
  • I mac usano EFI al posto del bios.

    Cosa accade se il malware viene installato su un mac? (ovviamente, avendo avviato il mac in modalità windows)

    Non lo infetta? Crede di averlo infettato ma non lo fa?

    O sovrascrive le routine di EFI, mandando il sistema in crash completo?


    Qualcuno ne sa qualcosa?
    non+autenticato
  • - Scritto da: uno qualsiasi
    > I mac usano EFI al posto del bios.
    >
    > Cosa accade se il malware viene installato su un
    > mac? (ovviamente, avendo avviato il mac in
    > modalità
    > windows)
    >
    > Non lo infetta? Crede di averlo infettato ma non
    > lo
    > fa?
    >
    > O sovrascrive le routine di EFI, mandando il
    > sistema in crash
    > completo?
    >
    >
    > Qualcuno ne sa qualcosa?

    Partendo dalla base: è capace di infettare la ROM del BIOS Award prodotto da Phoenix Technologies

    Ora: il Mac ha un BIOS Award prodotto da Phoenix? Soprattutto: ha un BIOS?

    Se dopo aver risposto hai ancora dubbi, passo alla domanda successiva: cosa succede se tenti di flashare un BIOS con un tool non progettato per lui?
  • > Se dopo aver risposto hai ancora dubbi, passo
    > alla domanda successiva: cosa succede se tenti di
    > flashare un BIOS con un tool non progettato per
    > lui?

    Il tool dovrebbe accorgersi della situazione e fermarsi da solo. Se tentasse di flashare il bios comunque, manderebbe in crash la macchina.

    Ma un malware è prudente quanto un tool progettato a regola d'arte?
    non+autenticato
  • - Scritto da: uno qualsiasi
    > > Se dopo aver risposto hai ancora dubbi, passo
    > > alla domanda successiva: cosa succede se
    > tenti
    > di
    > > flashare un BIOS con un tool non progettato
    > per
    > > lui?
    >
    > Il tool dovrebbe accorgersi della situazione e
    > fermarsi da solo. Se tentasse di flashare il bios
    > comunque, manderebbe in crash la
    > macchina.

    Non si riferisce al caso EFI, cmq.

    > Ma un malware è prudente quanto un tool
    > progettato a regola
    > d'arte?

    Se non lo è, si condanna da solo all'autoestinzione.
    non+autenticato
  • Stò rootkit infetta un solo tipo di BIOS, se non lo trova si blocca. EFI credo sia una tecnologia una tantinello più complessa e quindi è irraggiungibile dal malware.
  • - Scritto da: Alfonso Maruccia
    > Stò rootkit infetta un solo tipo di BIOS, se non
    > lo trova si blocca. EFI credo sia una tecnologia
    > una tantinello più complessa e quindi è
    > irraggiungibile dal
    > malware.
    Perché mai? Si flasha esattamente come un BIOS, semplicemente ha un'architettura più complicata e modulare. Anzi, proprio questa modularità mi fa pensare che in linea di principio sia anche più facile aggiungerci pezzi.
  • Negative on that....

    Non puoi avere accesso in scrittura alla flash dell'EFI se non al momento del boot.

    Per fare un aggiornamento del BIOS su Mac il software update installa un "bootloader dedicato" e ti chiede una combinazione di tasti all'avvio, una volta che il bootloader standard inizia a caricare il sistema operativo ha messo un flag di sistema in modalita' tale da non consentire piu' la sovrascrittura dell'EFI.

    A.

    PS: Nessuna guerra di religione, solo un fatto tecnico.
    non+autenticato
  • > PS: Nessuna guerra di religione, solo un fatto tecnico.
    Figurati, sono solo contento che sia così, ricordavo male evidentemente.Sorride
  • - Scritto da: Pinco Pallino Non Loggato
    > Non puoi avere accesso in scrittura alla flash
    > dell'EFI se non al momento del
    > boot.
    >
    > Per fare un aggiornamento del BIOS su Mac il
    > software update installa un "bootloader dedicato"
    > e ti chiede una combinazione di tasti all'avvio,
    > una volta che il bootloader standard inizia a
    > caricare il sistema operativo ha messo un flag di
    > sistema in modalita' tale da non consentire piu'
    > la sovrascrittura
    > dell'EFI.
    >
    > A.
    >
    > PS: Nessuna guerra di religione, solo un fatto
    > tecnico.


    Perchè sotto windows invece credi che parta il programma flasher malevolo ed il bios e' programmato dal sistema operativo? Viene solo passato il contenuto della eepron (malevolo) ad un buffer nel chip del bios.Bisogna poi riavviare il sistema perchè la eeproom del bios si riprogrammi come ovvio che sia
    non+autenticato
  • - Scritto da: DaPunisher
    > Perchè sotto windows invece credi che parta il
    > programma flasher malevolo ed il bios e'
    > programmato dal sistema operativo? Viene solo
    > passato il contenuto della eepron (malevolo) ad
    > un buffer nel chip del bios.Bisogna poi riavviare
    > il sistema perchè la eeproom del bios si
    > riprogrammi come ovvio che
    > sia
    Il punto è che con i BIOS attuali l'exploit è possibile perché tramite SMI (che ovviamente è accessibile solo in kernel-mode) si può avviare il flashing del BIOS.

    Quello che lui dice è che nell'EFI usato sui sistemi Apple questa possibilità è disabilitata, il bootloader "normale" mette l'EFI in uno stato tale da non accettare upgrade del firmware fino al successivo reboot, neanche da kernel-mode.
    Questo è ovviamente più sicuro, anche se comunque non credo sia una cosa che dipenda in maniera particolare dall'architettura di EFI; in effetti basterebbe che i BIOS normali avessero un'opzione per far sì che il flashing del firmware sia possibile soltanto dalla schermata del POST, disabilitando i comandi SMI per cancellare e riflashare il BIOS.
    -----------------------------------------------------------
    Modificato dall' autore il 15 settembre 2011 23.24
    -----------------------------------------------------------
  • - Scritto da: Matteo Italia
    > Il punto è che con i BIOS attuali l'exploit è
    > possibile perché tramite SMI (che ovviamente è
    > accessibile solo in kernel-mode) si può avviare
    > il flashing del
    > BIOS.
    BIOS normali avessero un'opzione
    > per far sì che il flashing del firmware sia
    > possibile soltanto dalla schermata del POST,
    > disabilitando i comandi SMI per cancellare e
    > riflashare il
    > BIOS.


    Exploit su windows per flashare il bios? Il flashing col firmware malware avviene solo grazie all'ingegneria sociale.
    non+autenticato
  • Il "coso" infilatosi nel bios e' in grado di intraprendere azioni autonome tali da replicarsi (cioe' da infettare altre macchine) ?

    Se si non mi sembra affatto che il fatto che queste azioni siano "complesse" metta al riparo da una propagazione importante.

    Se, come mi pare di capire, no... allora questo e' il punto (e la complessita' del meccanismo non centra una beneamata calza): non e' un virus.

    Una cosa che si riproduce (in modo autonomo) e' un virus, una cosa che viene installata con mezzi vari e sta li a fare danni, qualsiasi cosa sia, ma non si riproduce sta a un virua (informatico) come la cacca sta a un essere vivente (biologico); puo' essere sgradevole, puo' puzzare ma... non e' viva e non invade il pianeta (sono quelli che cagano ad averlo invaso).
  • Mi rispondo da solo... in fondo l'articolo non parla mai di "virus", parla di un rootkit...

    Peraltro una volta preso il "coso".... il sistema operativo ospite non puo' essere immune (sta a un livello piu' basso, questo essendo nel bios parte anche prima di un hypervisor...) quindi non e' immune nemmeno VMSA bocca aperta
    -----------------------------------------------------------
    Modificato dall' autore il 15 settembre 2011 20.42
    -----------------------------------------------------------
  • Più che altro fa da "testa di ponte" per mantenere viva l'infezione sul PC; il funzionamento del rootkit in questione è descritto qui: http://blog.webroot.com/2011/09/13/mebromi-the-fir.../
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)