Ils ont inventé le virus de BIOS

Ils ont inventé le virus de BIOS

Mercredi 25 mars 2009 à 11:21

Malgré toutes les protections que l'on peut prendre, antivirus, antispyware, pare-feu, pattes de lapin, gousses d'ail, etc. personne n'est à l'abri d'une infection de son ordinateur. Certaines sont d'ailleurs suffisamment résistantes pour que l'on ne sache plus comment s'en débarrasser. La seule solution est alors de "tout reformater et réinstaller Windows".

Oui, mais, si un jour cela ne suffisait plus ? Si le programme malveillant résistait, persistait, même après l'incantation ultime "format c:" ? C'est le cauchemar que nous promettent deux chercheurs en sécurité informatique. Anibal Sacco et Alfredo Ortega de la société Core Security Technologies ont expliqué qu'ils pouvaient installer dans un BIOS un bout de code résident, qui survivrait à n'importe quelle réinstallation ou même f.l.a.s.h.a.g.e.

La méthode d'infection a été testée et fonctionne sur des PC Windows, OpenBSD ou même au travers d'une machine virtuelle VMWare. Tempérons néanmoins la portée de cette découverte puisque pour le moment l'installation du code malveillant dans le BIOS nécessite soit d'avoir les privilèges d'administrateur de la machine, soit un accès physique à l'ordinateur. Ne coupez donc pas votre accès à Internet tout de suite ! Mais bien sûr il est facile de penser que les recherches se poursuivront. Ortega ajoute d'ailleurs :

Rappelons que les recherches sur les BIOS rootkits ont commencé il y a quelques années. Elles visaient au départ à prendre avantage de la gestion ACPI, qui utilisent des pilotes peu protégés. L'infection était alors facilement bloquée pour peu que la carte mère exige une manipulation des jumpers pour flasher le BIOS, où exige un BIOS signé, plus difficile à reproduire. Il faut encore rendre l'infection transmissible à tous les BIOS et pas seulement à certaines cartes mères. Espérons qu'avant que toutes ces recherches n'aboutissent et ne filtrent dans des mains malintentionnées, les PC auront abandonné les BIOS au profit des EFI.

source : http://www.presence-pc.com/actualite/virus-rootkit-BIOS-34221/

J'ai pas trop pigé leur truc

D'après ça et

Il en résulte une bien meilleure performance puisque Windows reste dans son mode d'exécution 32 bits, et n'appelle pas les routines du BIOS. Ainsi plus de passage en mode réel pour l'accès aux disques ni par la ROM du BIOS. Il fallait cependant disposer d'un pilote compatible avec son contrôleur IDE.

Je me demande comment c'est possible !!???

Le probleme avec ce genre de virus c'est qu'il doit peser assez lourd...

Je m'explique

Je pense que de nos jours, quasiment toutes les marques de PC incluent des logiciels qui permettent de configurer le bios a partir de l'OS. Comme je l'ai bien précisé, il faut installé un logiciel pour communiquer avec le bios... Oui mais il existe plusieurs types De BIOS et developper un virus qui puisse acceder au bios demande l'utilisation des drivers fournis par ces marques.

En gros, il faut creer un virus qui contient des drivers de dizaines de marque

faudrait se mettre d'accord sur quelques termes au passage, par BIOS on veut surement parler de la copie sur la RAM au boot et non la copie non modifiable sur la ROM.

« Nous pouvons mettre le code où nous voulons. Nous n'utilisons pas une vulnérabilité [du système d'exploitation]. [...] Nous pouvons réinfecter le BIOS à chaque fois qu'il reboot. » a précisé Ortega.

Il est clair qu'on parle ici de Virus de Boot qui à chaque démarrage du PC tripote dans la copie du BIOS dans la RAM (et non celle de la ROM qui reste intègre faute de procédure de la marque de la CM pour ********) afin de créer des failles qui pourront être exploitées sur l'OS.