Reminiscenza di vecchi virus per Win9x o potente bootkit pensato per essere resistente contro qualsiasi tentativo di rimozione da parte del software antivirale? Fa discutere il nuovo malware scoperto “in-the-wild”, un rootkit progettato per eseguire il “flash” del BIOS di sistema e infettare le componenti basilari di disco e sistema operativo così da resistere all’eventuale contrattacco di antivirus e antimalware.
Mebromi, questo il nome con cui è stato ribattezzato il nuovo rootkit da BIOS, è capace di infettare la ROM del BIOS Award prodotto da Phoenix Technologies, trasferendo una parte del suo codice all’interno del microchip responsabile delle primissime fasi del bootstrap di ogni PC.
Dal BIOS Mebromi si muove poi per infettare il Master Boot Record del disco fisso (il settore 0 del disco a cui il BIOS passa il controllo dell’esecuzione alla fine della fase di bootstrap), attivando infine un rootkit di livello kernel in Windows per nascondere l’infezione al sistema operativo e ai software antivirus.
Stando a Marco Giuliani, noto ricercatore di sicurezza italiano impiegato presso la security enterprise Webroot, Mebromi è “potenzialmente una delle infezioni più persistenti note oggi in circolazione”, nondimeno il rischio che si diffonda a livelli preoccupanti è minimo per via della delicatezza delle operazioni di basso livello che è progettato per compiere al fine di infettare una macchina.
Alfonso Maruccia