Wirus, którego nie da się usunąć

Wirus, którego nie da się usunąć
02.08.2012 14:37
Wirus, którego nie da się usunąć
Źródło zdjęć: © Thinkstockphotos

Nie pomoże całkowite wymazanie systemu, ani nawet wymiana dysku twardego.

W branży związanej z bezpieczeństwem komputerów, co jakiś czas pojawia się głos, ostrzegający przed instalowaniem w sprzęcie programów szpiegowskich, które mogą być umieszczane przez samych producentów płyt głównych, kart sieciowych czy układów graficznych. Biorąc pod uwagę fakt, że zdecydowana większość sprzętu elektronicznego produkowana jest w Chinach, obawa ta nie jest zupełnie pozbawiona podstaw. Do tej pory jednak problem był bagatelizowany i uważany za trudny w realizacji, a nawet dość absurdalny. Na tegorocznej międzynarodowej konferencji Black Hat, francuski haker Jonathan Brossard pokazał, że zagrożenie jest jak najbardziej realne.

Jeśli ktoś umieści tylną furtkę w twoim komputerze, właściwie na zawsze będzie nad tobą panował

Szkodnik ukryty najgłębiej jak się da

Brossard stworzył oprogramowanie, które ochrzcił Rakshasa. Narzędzie trzeba umieścić w BIOS-ie płyty głównej, czyli układzie, który odpowiada m.in. za komunikację pomiędzy poszczególnymi elementami komputera. BIOS uruchamiany jest jeszcze przed załadowaniem systemu operacyjnego, takiego jak Windows czy Linux i jest od niego zupełnie niezależny. Umieszczenie szkodliwego kodu w tym miejscu powoduje, że nie da się go wykryć za pomocą żadnego programu antywirusowego. Co więcej, ponowna instalacja systemu operacyjnego, a nawet wyrzucenie dysku twardego, nie pozwolą pozbyć się wirusa. Teoretycznie wystarczyłoby pozbycie się płyty głównej z zainfekowanym BIOS-em, ale i na to narzędzie francuskiego hakera jest przygotowane. Rakshasa potrafi skopiować się do układów elektronicznych innych elementów komputera, jak choćby karty sieciowej, skąd może automatycznie przenieść się do BIOS-u nowej płyty głównej.

Internet potrzebny do życia

Wirus pokazany na konferencji Black Hat został zaprojektowany, by umożliwiać zdalne przejęcie kontroli nad zainfekowaną maszyną. Rakshasa w swojej pierwotnej formie nie posiada jednak fragmentów szkodliwego kodu. Dopiero w momencie włączenia zainfekowanego komputera, szkodnik natychmiast zaczyna szukać połączenia z internetem, a gdy takie jest dostępne, pobiera automatycznie niewielki fragment kodu. Te instrukcje znoszą ograniczenia uniemożliwiające dokonywanie zmian w systemie operacyjnym przez oprogramowanie ukryte w sprzęcie. Po tej krótkiej operacji, Rakshasa ma pełny dostęp do kluczowych funkcji systemu - możemy wykradać hasła, sprawdzać co piszemy, co robimy, a nawet umożliwić całkowite przejęcie kontroli nad komputerem dowolnej osoby na świecie. Najgorsze jest to, że konstrukcja wirusa, która opiera się na pobieraniu kodu z sieci, sprawia, że szkodnik jest praktycznie niewykrywalny. Autor dowodził na konferencji w Las Vegas, że nawet wirusy takie jak Stuxnet czy Flame - najgroźniejsze tego typu
narzędzia, jakie do tej pory powstały, tworzone prawdopodobnie przez rządy USA i Izraela - są łatwiejsze do wykrycia niż Rakshasa. Szkodnik Brossarda posiada jednak słaby punkt - jest nim dostęp do internetu, bez którego wirus jest bezużyteczny.

Zarażeni w fabryce

Wykorzystanie wirusa ukrytego w oprogramowaniu sprzętowym wymaga wgrania go do układów elektronicznych już w fabryce. To powoduje, że nie musimy obawiać się infekcji przez wchodzenie na strony internetowe czy z pendrive'a kolegi. Z drugiej strony kongres USA zaprezentował w marcu br. raport, w którym wskazywał, że elektronika produkowana w Chinach stanowi potencjalne zagrożenie dla systemów komunikacyjnych Stanów Zjednoczonych. Po zaprezentowaniu przez francuskiego hakera, że wystarczy jeden zdolny programista, by stworzyć niewykrywalnego wirusa, można się zastanawiać do czego może posunąć się kraj, który, jak wiadomo, posiada specjalne jednostki wojskowe hakerów?

GB/SW/GB

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (505)