Como o código é executado a partir da placa-mãe, reinstalar o sistema operacional ou mesmo reformatar o disco rígido não é suficiente para remover o programa indesejado. Os programa gerado pelos pesquisadores consegue ler e alterar arquivos presentes no disco rígido a partir da BIOS.
Especialistas conseguiram injetar um código no sistema da placa-mãe do computador, diferentemente dos vírus comuns, que se alojam apenas no disco rígido. (Foto acima)
Até hoje não se tem notícia de nenhum código malicioso capaz de usar a BIOS para infectar o sistema. Algumas pragas digitais, como o CIH (também conhecido como Chernobyl) e o MagiStr tentavam zerar o conteúdo da memória onde é armazenada a BIOS, o que fazia com que o computador não inicializasse mais. Os pesquisadores, no entanto, conseguiram inserir seu próprio código na BIOS, em vez de danificá-la.
O ataque independe do sistema operacional. Na demonstração, os pesquisadores infectaram a BIOS a partir do Windows e do OpenBSD. Eles também obtiveram sucesso na tentativa de modificar a BIOS de uma máquina virtual -- como são chamados os computadores “virtuais” que rodam em apenas um único hardware, mas com sistemas operacionais distintos. Nesse caso, a BIOS do computador físico não era afetada, mas todas as máquinas virtuais eram infectadas.
Os pesquisadores dizem ser preciso mais pesquisa para que possa ser criado um vírus “camuflado” -- ou rootkit -- que reinfecta silenciosamente o computador sem que o usuário perceba. Uma praga digital assim seria muito difícil de ser eliminada, ou mesmo detectada.
A prova da possibilidade de ataques persistentes usando a BIOS chega mais de dois anos depois de outra pesquisa que demonstrou a possibilidade de instalar pragas digitais em placas PCI, em novembro de 2006.
Mesmo depois de tanto tempo, nenhum vírus real fez uso dessa técnica para se alojar em placas PCI. O mesmo pode ser esperado desta, a não ser que códigos prontos sejam disponibilizados para facilitar a integração dessa funcionalidade nas pragas digitais.
Os pesquisadores não informaram se os chips de computação confiável (Trusted Platform Module), já incluídos em alguns computadores mais recentes, dificultam a realização do ataque ou mesmo sua identificação. Os slides usados na apresentação estão disponíveis na internet em PDF.
Praga se espalha por modems ADSL e roteadores que rodam Linux
Pesquisadores da DroneBL anunciaram esta semana a descoberta de um vírus que se espalha por modems ADSL e roteadores cujo sistema é baseado em Linux (arquitetura MIPS). Batizada de “psyb0t”, a praga tira proveito de senhas fracas configuradas nos equipamentos e em vulnerabilidades existentes em firmwares -- como é chamado o software que opera o modem -- desatualizados.
O OpenWRT é um dos sistemas afetados, mas apenas se a configuração padrão foi modificada para permitir gerenciamento fora da rede interna. (Foto acima)
Para verificar se o seu modem foi afetado, basta tentar entrar no painel de administração. Se a tela de login, pelo menos, aparecer, não há infecção, pois o vírus bloqueia o acesso. Se o aparelho estiver infectado, basta realizar um “hard reset” no modem e configurá-lo de forma adequada.
A praga digital captura senhas e usuários por meio da análise do tráfego que passa pelo modem e forma uma rede zumbi, capaz de realizar ataques de negação de serviço, entre outros. O site da DroneBL está sob ataque, o que levou os pesquisadores à descoberta.
O psyb0t ataca apenas roteadores e modems que usam Linux. Computadores comuns e servidores não estão em risco.
Comentários