ระวัง มัลแวร์ "Mebromi" เล่นงานคอมพิวเตอร์ที่ระดับ BIOS

by mk
15 September 2011 - 08:30

บริษัทด้านความปลอดภัยในประเทศจีน ค้นพบมัลแวร์ชนิดใหม่ชื่อ Mebromi ซึ่งกำลังระบาดในประเทศจีน ที่น่าสนใจคือมันเล่นงานคอมพิวเตอร์ตั้งแต่ระดับ BIOS ขึ้นมาเลยทีเดียว

กระบวนการทำงานของมันจะซับซ้อนหน่อย เริ่มจากมันจะหาทางติดตั้งไดรเวอร์ปลอมๆ ที่ทำงานในระดับเคอร์เนล (kernel mode driver) เพื่อเข้าถึง physical memory ในเครื่อง เมื่อติดตั้งไดรเวอร์และเข้าถึง physical memory ได้แล้ว มันจะตรวจสอบที่ตำแหน่ง 0xF0000 ว่ามี BIOS อยู่หรือไม่ (ซึ่งส่วนมากมักจะใช่) และเรียกโปรแกรมเขียน BIOS (ซึ่งเป็นของแท้จากบริษัทผลิต BIOS เสียด้วย) มาเขียนโค้ด rootkit ลงไปที่ BIOS

นอกจากจะแก้ไขข้อมูลใน BIOS แล้ว ตัวมัลแวร์จะไปแก้ข้อมูลบางส่วนของ Master Boot Record ด้วย เรียกว่าต่อให้ถ้าเขียน BIOS ไม่สำเร็จ ก็ยังมี MBR อีกอันที่จะโดนมัลแวร์อยู่ดี

ในการบูตเครื่องครั้งต่อไป BIOS (ที่โดนมัลแวร์เข้าเสียแล้ว) จะเช็คว่า MBR โดนด้วยหรือไม่ (ถ้าโดนแล้วก็ปล่อยผ่าน ถ้ายังไม่โดนก็แก้ MBR ซะเลย)

จากนั้นก็ยาวเลย มันจะเข้าไปเช็คที่ file system แล้วเข้าไปแก้ถึงไฟล์ winlogon.exe หรือ wininit.exe ที่ใช้ในการบูตวินโดวส์ และรอให้วินโดวส์บูตเสร็จเพื่อดึงโค้ดมัลแวร์ส่วนอื่นๆ มาจากอินเทอร์เน็ตต่อไป (อ่านรายละเอียดของกระบวนการทำงานทั้งหมดได้ตามลิงก์)

ความน่ากลัวของมัลแวร์ลักษณะนี้อยู่ที่ว่า ต่อให้ซอฟต์แวร์ความปลอดภัยตรวจจับและล้างให้สะอาดได้ แต่เมื่อบูตเครื่องครั้งต่อไป BIOS (ที่ซอฟต์แวร์ความปลอดภัยเข้าไม่ถึง) ก็จะทำให้เครื่องเราติดมัลแวร์ใหม่อยู่ดี

แนวคิดนี้จริงๆ ไม่ใช่เรื่องใหม่ ในอดีตเคยมีคนสร้างโค้ดที่ทำงานในระดับ BIOS มาแล้ว เพียงแต่ครั้งนี้อาจถือว่าเป็นมัลแวร์ที่ทำงานจริงๆ ไม่ใช่โค้ดทดลอง (proof-of-concept) แต่อย่างใด

อย่างไรก็ตาม ถึงแม้การทำงานของมันที่ระดับล่างๆ ฟังดูร้ายแรง แต่ข้อเสียของมัลแวร์แบบนี้คือโค้ดมีความซับซ้อน ต้องใช้หลายส่วนทำงานผสานกัน และต้องปรับแต่งโค้ดให้เหมาะกับฮาร์ดแวร์แต่ละชุดด้วย (เช่น โค้ดสำหรับ BIOS แต่ละยี่ห้อ) ทำให้โอกาสที่มันจะทำงานได้ 100% ตามที่ผู้สร้างตั้งใจมีน้อยลงมาก

ในตอนนี้ Mebromi ยังมุ่งเป้าที่ผู้ใช้ในประเทศจีนเท่านั้น และโค้ดของมันใช้ได้กับ BIOS ยี่ห้อ Award (ซึ่งปัจจุบันเป็นของ Phoenix Technologies) เพียงอย่างเดียว

ที่มา - Webroot Threat Blog, The Register

Blognone Jobs Premium