Megírták a mindent túlélő vírust

"Bő egy évtizedes biztonságtechnikai karrier után elég kevés dolog van, ami megijeszt. Amit Alfredo Ortega és Anibal Sacco mutatott, az ilyen" - írta blogjában George Hulme biztonságtechnikai szakértő a kanadai CanSecWest hackerkonferencián bemutatott új vírusról, és ez nagyjából tükrözi az egész vírusirtó szakma reakcióját. A két argentin szakértő módszere a BIOS-t támadja meg; ez az a program, ami egy alaplapi csipről fut a gép bekapcsolása után, és azokat a funkciókat tartalmazza, amik az operációs rendszer betöltését, és az alapvető fájlműveleteket teszik lehetővé.

A BIOS-ba rejtett rosszindulatú kód a vírus gazdájának teljes kontrollt ad a gép felett, függetlenül attól, hogy azon milyen operációs rendszer, tűzfal és vírusirtó fut (hiszen ezek előtt lép működésbe, és ki tudja iktatni a rá vadászó programokat). Megszabadulni tőle szinte lehetetlen, hiszen a teljes rendszer újratelepítése, az adattárolók törlése vagy akár cseréje sem hatja meg. A konferencián a módszert bemutatták Windows és Linux alatt is.

Az egyetlen jó hír, hogy a vírus képtelen magától terjedni; egy gépet csak úgy lehet megfertőzni vele, ha a támadó fizikailag hozzáfér a géphez, és egy BIOS-frissítéssel bejuttatja a rosszindulatú kódot a rendszerbe, vagy adminisztrátor joggal távolról teszi meg ugyanezt. Az elvi lehetőség azonban megvan arra, hogy például egy meghajtóprogram beleírjon a BIOS-ba, így előbb-utóbb elkészülhet az önmagától terjedő verzió is - bár a szakértők szerint ez nem az a fajta vírus, aminek az internetes tömeges elterjedésével kell számolni. Sokkal fenyegetőbb az a tulajdonsága, hogy nagyon nehéz észrevenni, és megszabadulni tőle.

Az alacsony szintű rendszerszoftverek megfertőzése egyébként az antivírus-szakemberek régi félelme: egy John Heasman nevű szakértő már 2006-ban publikált egy tanulmányt, amiben annak az elvi lehetőségét írja le, hogy egy PCI-buszon az alaplapra csatlakozó hardvert működtető programba hogyan lehet rosszindulatú kódot rejteni.