Jump to content

Ils ont inventé le virus de BIOS


Recommended Posts

Guest salimdz

Ils ont inventé le virus de BIOS

 

Mercredi 25 mars 2009 à 11:21

 

BIOS-rootkit,V-G-192940-3.jpg

 

Malgré toutes les protections que l'on peut prendre, antivirus, antispyware, pare-feu, pattes de lapin, gousses d'ail, etc. personne n'est à l'abri d'une infection de son ordinateur. Certaines sont d'ailleurs suffisamment résistantes pour que l'on ne sache plus comment s'en débarrasser. La seule solution est alors de "tout reformater et réinstaller Windows".

 

Oui, mais, si un jour cela ne suffisait plus ? Si le programme malveillant résistait, persistait, même après l'incantation ultime "format c:" ? C'est le cauchemar que nous promettent deux chercheurs en sécurité informatique. Anibal Sacco et Alfredo Ortega de la société Core Security Technologies ont expliqué qu'ils pouvaient installer dans un BIOS un bout de code résident, qui survivrait à n'importe quelle réinstallation ou même f.l.a.s.h.a.g.e.

« Nous pouvons mettre le code où nous voulons. Nous n'utilisons pas une vulnérabilité [du système d'exploitation]. [...] Nous pouvons réinfecter le BIOS à chaque fois qu'il reboot. » a précisé Ortega.

La méthode d'infection a été testée et fonctionne sur des PC Windows, OpenBSD ou même au travers d'une machine virtuelle VMWare. Tempérons néanmoins la portée de cette découverte puisque pour le moment l'installation du code malveillant dans le BIOS nécessite soit d'avoir les privilèges d'administrateur de la machine, soit un accès physique à l'ordinateur. Ne coupez donc pas votre accès à Internet tout de suite ! Mais bien sûr il est facile de penser que les recherches se poursuivront. Ortega ajoute d'ailleurs :

« Nous pouvons patcher un pilote afin qu'il installe un rootkit totalement fonctionnel. Nous avons même un petit programme qui supprime ou désactive les antivirus. »

Rappelons que les recherches sur les BIOS rootkits ont commencé il y a quelques années. Elles visaient au départ à prendre avantage de la gestion ACPI, qui utilisent des pilotes peu protégés. L'infection était alors facilement bloquée pour peu que la carte mère exige une manipulation des jumpers pour flasher le BIOS, où exige un BIOS signé, plus difficile à reproduire. Il faut encore rendre l'infection transmissible à tous les BIOS et pas seulement à certaines cartes mères. Espérons qu'avant que toutes ces recherches n'aboutissent et ne filtrent dans des mains malintentionnées, les PC auront abandonné les BIOS au profit des EFI.

 

source : http://www.presence-pc.com/actualite/virus-rootkit-BIOS-34221/

Link to post
Share on other sites
  • Moderators

J'ai pas trop pigé leur truc :)

 

D'après ça et

 

Il en résulte une bien meilleure performance puisque Windows reste dans son mode d'exécution 32 bits, et n'appelle pas les routines du BIOS. Ainsi plus de passage en mode réel pour l'accès aux disques ni par la ROM du BIOS. Il fallait cependant disposer d'un pilote compatible avec son contrôleur IDE.

 

Je me demande comment c'est possible !!???

Link to post
Share on other sites

Le probleme avec ce genre de virus c'est qu'il doit peser assez lourd...

Je m'explique :)

 

Je pense que de nos jours, quasiment toutes les marques de PC incluent des logiciels qui permettent de configurer le bios a partir de l'OS. Comme je l'ai bien précisé, il faut installé un logiciel pour communiquer avec le bios... Oui mais il existe plusieurs types De BIOS et developper un virus qui puisse acceder au bios demande l'utilisation des drivers fournis par ces marques.

 

En gros, il faut creer un virus qui contient des drivers de dizaines de marque ;)

Link to post
Share on other sites
  • Moderators

faudrait se mettre d'accord sur quelques termes au passage, par BIOS on veut surement parler de la copie sur la RAM au boot et non la copie non modifiable sur la ROM.

 

« Nous pouvons mettre le code où nous voulons. Nous n'utilisons pas une vulnérabilité [du système d'exploitation]. [...] Nous pouvons réinfecter le BIOS à chaque fois qu'il reboot. » a précisé Ortega.

 

Il est clair qu'on parle ici de Virus de Boot qui à chaque démarrage du PC tripote dans la copie du BIOS dans la RAM (et non celle de la ROM qui reste intègre faute de procédure de la marque de la CM pour ********) afin de créer des failles qui pourront être exploitées sur l'OS.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...