Security Rootkit Mebromi: basso rischio? Spero invece che non sia un massacro

[LadyHawke]

Quando poco meno di tre mesi fa la notizia era rimbalzata nel web, non aveva destato il dovuto interesse (chiedo venia, anch'io lo avevo accantonato e dimenticato), ed era stata abbastanza dimenticata, anche perché tutte le testate riportavano un rischio assolutamente limitato di infezione, circoscrivendo il rootkit all'area asiatica e più precisamente alla Cina, da dove proviene.

Purtroppo ad oggi devo riportare a galla il problema, visto che in 10 giorni ho avuto sotto mano due notebook (+ un terzo, ma questa è altra storia), infetti al 99% dal Mebromi.
Per chi non vuole approfondire basti sapere che il rootkit è l'unico, attualmente conosciuto, che attacca fisicamente i Bios, nello specifico pare per adesso solo il Bios della Phoenix.
L'infezione per propagarsi necessita dei permessi di amministratore sul PC per lavorare a livello kernel, e per quanto ho capito, inizia un loop di infezione PC/MBR del disco fisso/Bios, ma a boomerang, ovvero, una volta che il Bios è infetto, reinfetta l'MBR e conseguentemente la macchina.
Da qui si evince che in linea di massima si può tentare ("tentare" perché possono sorgere altri problemucci) di ripulire PC e MBR del disco quanto si vuole, ma finchè il Bios rimane infetto tutto ricomincia da capo e non c'è scampo: e all'infezione del Bios pare non sia ancora stato trovato rimedio.

Nel mio caso ai due notebook era apparsa improvvisamente una password per il bios, che nessun software è riuscito ad eliminare o rilevare (ma forse in realtà, neppure esiste) e i sistemi operativi non si avviavano più. Di fatto l'impossibilità di accedere al bios preclude poter cambiare sequenza di boot per tentare qualche operazione e per le schede madri che hanno il menù di boot da tasto funzione, questo sembra sia disabilitato.

La terza macchina infetta è stato un incidente di percorso, che ci ha permesso di capire meglio il meccanismo: per cercare di far avviare uno dei primi due notebook è stato montato l'hard disk di un notebook "buono"… risultato: avviato con lentezza anche se al primo tentativo, infettato suppongo in quel momento l'MBR dell'hard disk, che poi è stato disgraziatamente passato al Bios del PC "buono" una volta che l'hard disk è stato rimesso al suo posto, prima purtroppo che il proprietario mangiasse la foglia, cosicchè anche questo notebook adesso si ritrova la sua bella password per accedere al Bios: Mebromi-utenti 3 a 0

Sui PC infetti è impossibile installare qualsiasi versione di Windows, Linux si installa, ma ha delle defaillance: il notebook che era stato buono attualmente si avvia con il suo vecchio sistema operativo un po' rallentato ma l'AV è stato preso a calci così come le impostazioni di sicurezza del browser (ma ancora si stanno contando i danni e non si sa neppure se o quanto resisterà)
Sull'unico PC infetto che ho ancora fra le mani il sistema operativo si installa (solo se il disco fisso è formattato, e quindi c'è la costrizione a dirottare l'avvio su CD), ma al primo riavvio (quindi non appena riesce ad infettare l'MBR del disco fisso), tutto muore: dopo un quarto d'ora riesce ad appare il desktop ma è tutto bloccato.

Abbiamo provato a togliere la batteria tampone, ma non è servito a nulla: il rootkit evidentemente si è inoculato al livello più profondo del Bios e purtroppo ho difficoltà a tentare l'aggiornamento e quindi la sovrascrittura perché questo maledetto modello di Acer dispone solo di un'utility che lavora da Windows e non da Dos: stò studiando come aggirare gli ostacoli.

La morale di tutta questa storia è che se non si trova una soluzione al Bios infettato, non basta la solita formattazione, ma in pratica il PC è da buttare o quanto meno lavorerà con Linux in condizioni disastrate, quindi in primis verificate se avete un Bios Phoenix e metteteci voi una password: nessuno nel web ne dice nulla ma chissà che trovando un qualche sbarramento si possa almeno fermare a livello Bios (non ci conto, ma tentare non costa nulla); evitate software asiatici, compresi i molti web-streaming e scannerizzate con l'antivirus ogni file che scaricate da fonti dubbie prima di avviarlo o scompattarlo; attivate eventuali difese in tempo reale del vostro antivirus.
Attualmente ho trovato solo questo tool della Symantec che pare faccia qualcosa (ma non parla di Bios) Norton NPE: io non ho potuto provarlo senza S.O. funzionante

:ct:

[Andy86]

ho difficoltà a tentare l'aggiornamento e quindi la sovrascrittura perché questo maledetto modello di Acer dispone solo di un'utility che lavora da Windows e non da Dos: stò studiando come aggirare gli ostacoli.

Hai preso in considerazione la possibilità di un avvio di windows da cd, per eseguire quell'ultility?

CD Windows avviabile BartPE risolve guai

A volte anche le cose più strane possono risolvere.

Altrimenti sperimenterei l'utilizzo di utility da dos di altri produttori, al quale sostituire i file .img contenuti all'interno, magari rinominandoli adeguatamente, sempre che corrispondano abbastanza.

Sembra impossibile, ma io, ai miei inizi, ho quasi buttato una scheda madre sbagliando immagine per l'update.

[LadyHawke]

BartPE e derivati ne ho usati spesso, ma i programmi contenuti nel BartPE sono sotto forma di plugin, onestamente se non li trovo già pronti non sono in grado di trasformare un programma in un plugin, e non ne ho trovati degli eseguibili che fleshano il Bios.
Provare altri eseguibili che lavorano sotto Dos è rischioso: uno lo avevo provato ma non è andato: purtroppo i nuovi Bios non sono come quelli di qualche anno fa, allora c'erano solo due eseguibili che facevano questo lavoro, pensa che l'eseguibile sotto windows che flesha il Bios di questo notebook funziona solo per alcuni modeli della stessa famiglia 52xx, per altri modelli ce ne sono altri.
Con pazienza proverò a scaricare utility Bios più vecchie per vedere se trovo qualcos'altro, ma credi che quando ieri ho provato l'afudos.exe ed è rimasto solo il cursore lampeggianate mi si è gelata la schiena , quindi non voglio fare altri esperimenti senza prima l'autorizzazione del proprietario, che deve essere messo al corrente dei rischi

[janet]

non basta la solita formattazione, ma in pratica il PC è da buttare o quanto meno lavorerà con Linux in condizioni disastrate,

ma chi può essere così pazzo da mandare in rete malware che costringono a buttare il PC ? Certo è proprio un mondo assurdo e sempre più pericoloso.

[Kirk78]

provato a togliere la batteria tampone, ma non è servito a nulla: il rootkit evidentemente si è inoculato al livello più profondo del Bios

Non capisco come sia possibile ciò. Più profondo del bios c'è solamente l'hardware, che non ha quasi mai eprom che non hanno bisogno di alimentazione, quindi è possibile che non sei riuscita a scaricare completamente la battaria per resettare il bios. Prova a togliere la corrente elettrica, togliere la batteria tampone e lasciarlo senza neanche una stilla di elettricità per almeno un giorno.
Io programmavo le eprom una volta e qualcosina me lo ricordo. Poi diciamo che è passato di moda (niente lavori).

Importante anche staccare fisicamente l'HDD dai cavi dati e alimentazione. Dopo un giorno prova a riattaccare la corrente senza la batteria tampone, e vedere che succede e poi ci dici.

Per quanto riguarda i plugin di BartPE posso provare ad aiutarti perché qualche tempo fa ne ho fatti una decina... spero di ricordare dove ho messo la procedura perché nel frattempo mi si sono rotti almeno 3 macchine. Ma mi devi dire cosa ti serve esattamente.

Comunque mi informo dal servizio tecnico di Avira con cui ho un contatto diretto e ti faccio sapere al più presto. Comunque a settembre si parlava del file bios.bin che era lui che infettava il Bios (nome del file di aggiornamento del bios se non erro) e poi MBR e il resto.


EDIT: dimenticavo. Da qualche parte ho un boot disk FreeDos con alcuni tool per le Bios, e che sicuramente flashano il bios. Appena riesco a ritrovarlo vi dico. Mi sembrava fosse su floppy, ma andiamo un passo alla volta.

[LadyHawke]

Il notebook è rimasto disassemblato (quindi con tutto staccato, a pezzi) per circa 14 ore: francamente non credo che sia necessario più tempo, considerato che a una batteria normale possono bastare 3 minuti
Per i plugin, la cosa è relativa: se cioè trovo un programma DOS che gestisce quel Bios posso farlo dal CD di boot che mi sono fatta, però il poter creare plugin per il BarPE è comunque interessante , magari ne riparliamo.
Per il floppy, non saprei dirti: ammesso che il notebook avvii da floppy USB (la vedo dura, non potendo modificare la sequenza di avvio, ma vabbè, si potrebbe fare un'immagine del floppy e trasferirla su CD), quello che temo è che i nuovi Bios non siano supportati dai vecchi eseguibili DOS che flashavano fino a poco tempo fa, al che siamo fregati, perchè mi sono scordata che una volta sono riuscita a far partire il sistema (dopo una luuuunga attesa) in Mod. provvisoria e sono riuscita a lanciare l'utility di flash che però mi ha dato un'errore su un file .sys che utilizza.
Ora, se mi daranno l'ok per continuare gli esperimenti, proverò domani a mettere l'hard disk su un pc fisso per ripulire l'MBR, accettando il rischio di sacrificare una scheda madre (ne prenderò una in garanzia), poi proverò a riversarci l'immagine di una windows XP installata (su quel disco c'è Seven), per vedere se almeno al primo avvio riesco a far ripartire l'utility per vedere se funziona su XP, anche se a me il flash del Bios piacerebbe di più nella maniera tradizionale, da DOS.

[Andy86]

accettando il rischio di sacrificare una scheda madre (ne prenderò una in garanzia)

Montarlo come secondo hard-disk e riscrivere l'mbr senza avviarlo, no?
Teoricamente si dovrebbe poter fare anche da una live di linux.

A proposito di live di linux: Flashrom: aggiornare il BIOS alla maniera di Linux « -> ora su pollycoke.org

[Kirk78]

Attenta LadyHawke che qualche ditta se si fa l'upgrade della bios non fatto da un tecnico autorizzato, decade (per me illegalmente) la garanzia. Ti conviene prendere una non Phoenix così non dovrebbe attaccare almeno il bios.

@Andy86 accidenti quanti punti interrogativi ci sono sull'hardware supportato - http://www.flashrom.org/Supported_hardware -. Personalmente non so se mi arrischierei.

In general, flashing laptops is more difficult because laptops

• often use the flash chip for stuff besides the BIOS,
• often have special protection stuff which has to be handled by flashrom,
• often use flash translation circuits which need drivers in flashrom.

[LadyHawke]

Montarlo come secondo hard-disk e riscrivere l'mbr senza avviarlo, no?

Non ti saprei dire, l'ho sempre fatto sui dischi primari, e comunque, poichè il bios verifica l'hardware, non sappiamo se avrà la condicendenza di ignorarlo .
Per il link, è interessante, ma nutro gli stessi dubbi di kirk: quelle schede madri supportate mi sembrano tutte per pc desktop, senza contare che dovrei ridisassemblare completamente il notebook per trovare il modello di mobo e assicurarmi del tipo di chip

@ kirk78
Il notebook non è in garanzia, se lo fosse stato avrei fatto da scema e spedito in assistenza
Per la scheda madre, ovviamente cercherò una non-phoenix, la prudenza non è mai troppa, ma su quella si avrebbe solo l'effetto dell'infezione, cosa che onestamente dubito che i tecnici riescano a rilevare

[cydonia]

una cosa non ho ben compreso se sei riuscita ha fare il boot da cd!?se si questa live Hiren's BootCD 15.1 oltre alla sfilza di utility/programmi presenti hai anche queste, se non le hai gia' provate,piu' che altro per facilitarti le cose avendole tutte in uno:
BIOS / CMOS Tools

Codice:

Award DMI Configuration Utility 2.43 DMI Configuration utility for modifying/viewing the MIDF contents.
!BIOS 3.20 a powerfull utility for bios and cmos.
BIOS Cracker 5.0 BIOS password remover (cmospwd).
BIOS Utility 1.35.0 BIOS Informations, password, beep codes and more.
CMOS 0.93 CMOS Save / Restore Tool.
DISKMAN4 a powerful all in one utility.
Kill CMOS a tiny utility to wipe cmos.
UniFlash 1.40 bios flash utility.

se no, ci dovrebbe essere una combinazione di tasti per l'avvio da floppy usb,dipende dal portatile all'avvio fn+b o per gli acer fn+esc
edit:link al download
http://www.hirensbootcd.org/download/