En confirmation des ''hacks'' de firmware déjà décrits dans → Hacking You, voici un petit nouveau.
''BMW Virus''← découvert en Chine par → ''360'' (ou Qiho 360) porte également des noms romantiques comme ''Zhuanshagongju'' et ''Mebromi''. Il peut infecter le → BIOS Award d'un ordinateur (*), le MBR et des fichiers de Windows.
Réinstaller Windows, formater le disque ou le remplacer ne permettent pas d'enlever complètement ce ''BMW Virus''.« BMW 360 Security Center virus is the latest catch of a high-risk virus, the virus that infected a chain BIOS (motherboard chip program), MBR (master boot drive) and Windows system files, reinstall the system, regardless of the victim computer, format the hard disk, or replace the hard disk can not completely remove the virus. »
Il peut être téléchargé, au moins pour l'instant → ICI ← où se trouvent aussi quelques instructions en anglais traduit du chinois pour des essais.
''BMW Virus'' utilise des commandes → CBROM pour installer son propre ''code'' dans le BIOS.
Au démarrage suivant du système, il installe du ''code'' supplémentaire dans le MBR afin d'infecter des processus avant le lancement de Windows 2000, XP ou 2003 (dans cette première version, ''7'' ne serait pas concerné).The infection starts with a small encrypted dropper that contains five crypted resource files: hook.rom, flash.dll, cbrom.exe, my.sys, bios.sys.
Au démarrage suivant du système ''BMW Virus'' télécharge un rootkit pour que la modification du MBR ne soit pas détectée.
Par mesure de précaution, la routine complète d'infection est répétée à chaque démarrage du BIOS (**).
Il implante en sus un rootkit en mode noyau, un ''infecteur'' de fichiers → Portable Executable et un cheval de Troie.
Se pourrait-il qu'une manière d'éradiquer complètement ''BMW Virus'' commence par une tentative de ''flashage'' du BIOS lorsque il est d'Award ???
Un article très complet et très intéressant en anglais → Mebromi: the first BIOS rootkit in the wild par Marco Giuliani, un autre → Malware burrows deep into computer BIOS to escape AV par Dan Goodin
@+
Notes ...
(*) … Un rootkit BIOS, ce n'est pas vraiment une nouveauté, mais il n'en existait guère jusqu'ici que sous forme de ''preuve de concept '' (POC) ou d'outil de protection.
... Alfredo Ortega et Anibal Sacco, des chercheurs de Core Security en Argentine ont présenté l'un d'eux, préchargé dans des ordinateurs portables, au Black Hat de 2009 … (voir → Researchers find insecure BIOS 'rootkit' pre-loaded in laptops.
… Plus tôt encore, en 2006, John Heasman a démontré la vulnérabilités des BIOS et des cartes graphiques aux rootkits utilisant l’ACPI ← ... (voir → Rootkits et ARKs).
(**) ... Si l'ordinateur attaqué n'a pas un BIOS Award, il infecte seulement le MBR.