Virus que no se remueven al formatear la PC!

Si tu querida computadora ha sido infectada por un Virus o algún malware, troyano, etc.. de seguro lo último que estas pensando, la solución definitiva es siempre un formateo completo del disco y luego una reinstalación del sistema operativo. Sin embargo nos encontramos con un rival que es mucho más tenaz y difícil de apartar de lo que tu imaginas. Este es el caso de profesionales de la seguridad informática que han creado un virus que se aloja en el BIOS de la placa madre de la PC, lo han denominado “Chestburster”, se trata de un virus de 100 líneas pero tranquilo.. que ha sido creado sólo como demostración.
Incluso cambiando todo el hardware de la PC el virus seguiría allí, la única forma de removerlo es hacer un re-flash del BIOS en una PC no infectada.


Fuente:
http://tecnomagazine.net/2009/04/04/virus-que-no-se-remueven-al-formatear-la-pc/
 

★Supermegaman™►

Lanero Reconocido
Se unió
23 Oct 2006
Mensajes
2,464
Estos profesionales de la informatica tienen años de retraso!!!!, esto ya existía al igual que aquel virus que se aloja en la MBR y que según, ni formateando se elimina
 

josd@

Lanero Reconocido
Se unió
14 Mar 2008
Mensajes
3,954
no imaginense si esto fuese una amenasa informatica real y no una demostracion, la mejor solucion seria cojer el viejo bate de baseball y empesar a darle al pc seria mejor que comprar todo nuevo lol

Tranquilo que gracias a que gente como esa es por lo que hoy en dia existen tantas amenazas. ¿cuantas de las amenazas hoy en dia no comenzaron como una demostracion de alguien que no tenia nada mas que hacer?
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,744
El hecho que usted no me entienda no me hace chicanero. Es más un problema suyo que mio.

Evidentemente no me las se todas, hablo con lo que conozco, mal haria con hacer comentarios que no reflejen lo que se nada mas para parecer humilde a los ojos de muchos.

Saber no es un delito, eso es como el cuento que tienen los pobres de creeer que todos los ricos son malos.

100% de acuerdo, mejor leer comentarios objetivos que los comentarios alarmistas de la mayoria :muerto:
 

Takmadeus

Lanero Reconocido
Se unió
17 Dic 2005
Mensajes
865
Tranquilo que gracias a que gente como esa es por lo que hoy en dia existen tantas amenazas. ¿cuantas de las amenazas hoy en dia no comenzaron como una demostracion de alguien que no tenia nada mas que hacer?

Que gente más desocupada, no?, ni porque les estuvieran pagando (falta ver que tan amigos sean de symantec :p)
 
?

______________

Guest
y cual es la novedad?

ese tipo de virus existen hace mucho tiempo ( 15, 20 años ? ), y son casi siempre 100% inefectivos pues lo que suelen hacer es cambiar la tabla de interrupciones de la BIOS , cosa que cualquier sistema decente lo primero que hace es sobre escribirla o bien no utilizarla y utilizar una propia construida por el sistema.

Bueno como aquí no hay nadie que pueda ir contra solocodigo, sin salir lastimado, (es broma)
Me apoyo en documentos... para afirmar que este virus es mucho mas peligroso... que lo que trata de decir...
Del documento que crearon puedo sacar:

How it works?

The first instruction executed by the CPU is a 16 byte opcode
located at F000:FFF0
The Bootblock POST (Power On Self Test) initialization routine
is executed.
Decompression routine is called and every module is executed.
Initializes PCI ROMs.
Loads bootloader from hard-disk and executes it.
_______________
Where to patch:

Anywhere is valid:
f000:fff0: First instruction executed.
INT 0x19: Exected before booting
Insert a ROM module: Executing during POST
The most practical place: Decompressor
It's uncompressed!
Located easily by pattern matching
Almost never change
Called multiple times during boot
____________

What can be done?

Depends. What resources are available from BIOS?
Standarized Hard Disk access (Int 13h)
Memory Manager (PMM)
network access (PXE, Julien Vanegue technique)
Modem and other hardware (Needs a driver)
Our choice was to modify hard-disk content:
1) Modify shadow file on unix
2) Code injection on windows binaries
_____________

Real hardware demo
We infected an Phoenix-Award BIOS
Extensively used BIOS
Using the VGA ROM signature as ready-signal.
No debug allowed here, all was done by Reverse-Engineering and
later, Int 10h (Not even printf!)
Injector tool is a 100-line python script!
Además
de Tom´s Hardware
http://www.tomshardware.com/news/bios-virus-rootkit-security-backdoor,7400.html#xtor=RSS-181
"piece of code written in Python, a rootkit could be flashed into the BIOS and be run completely independent of the operating system."

...según entendí este virus... infecta el boot block de la Bios...
Por supuesto hay medidas para protegerse, ya que el atacante debiera tener permisos de admin... etc...

Una recomendación para solocodigo xD, favor leer los artículos completos antes de dar su opinión "objetiva"
 

Oel_v

Lanero Reconocido
Se unió
19 Ene 2007
Mensajes
448
Bueno si lo que dice juank es cierto y hoy en dia los sistemas operativos cargan otra tabla de interrupciones diferente a la del BIOS pues excelente, ahora, en caso contrario si la BIOS es infectada con ese virus ya muchos postearon aqui la solucion, actualizar el firmware o cambiarlo por uno desinfectado... pero donde quedaria la gente que ni siquiera sabe que significa la palabra firmware o BIOS?? para ellos e incluso para algunos "tecnicos" si definitivamente seria un grave problema no creen, auque la verdad en lo personal estoy de acuerdo con lo q dijo juank
 

wac666

Lanero Reconocido
Se unió
13 Feb 2008
Mensajes
498
mala cosa. toca estar muy pendientes y no meterse en paginas extrañas, ya ningun Antivirus es 100% confiable.

Lo mejor es tener buen comportamiento jajaja

Saludos
 

BONNUS

Lanero Reconocido
Se unió
28 Jul 2003
Mensajes
2,612
Dejen tanto amarillismo, alguno de ustedes alguna vez ha actualizado el firmware de su bios? eso no es como hacerle click al foto.zip que envian en msn y listo, quedo infectado.
Primero: tienen que tener permisos de administrador, segundo si tienes la bios protegida con password te lo va a pedir para actualizar el firmware, tercero la mayoria de bios tienen un miniantivirus que las protege de este tipo de situaciones, obligando a que lo desactives primero antes de actualizar (onboard protection y opciones similares).
Las unicas que conozco que podrian caer ante un virus asi, son las de HP que se actualizan con un ejecutable en windows y son bastante inseguras.
 

ErunamoJAZZ

Lanero Reconocido
Se unió
23 Mar 2006
Mensajes
49
que noticia tan " >_> ", (y repitiendo xD) la solución es actualizar la BIOS... ahora, la BIOS no es recomendable actualizarla sin necesidad, no faltara el que hoy descubra que puede actualizarla y corra a hacerlo; solo hay que hacerlo en casos como el de una infección (Si funciona bien, no hay necesidad de eso). Otra posible solución (al que le de miedo dañar la BIOS si se llegara a actualizar mal) es usar otro sistema operativo que no sea Windows (Linux, BSD, Solaris... que se yo... hay para escoger)
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
_______________
Where to patch:

Anywhere is valid:
f000:fff0: First instruction executed.
INT 0x19: Exected before booting
____________

What can be done?

Depends. What resources are available from BIOS?
Standarized Hard Disk access (Int 13h)

1) Modify shadow file on unix
2) Code injection on windows binaries
_____________

Real hardware demo
We infected an Phoenix-Award BIOS
Extensively used BIOS
Using the VGA ROM signature as ready-signal.
No debug allowed here, all was done by Reverse-Engineering and
later, Int 10h (Not even printf!)
Injector tool is a 100-line python script!"


  1. Como pueden ver hay varias referencias a INTXX, lo cual son las interrupciones de la BIOS, las necesita pues finalmente las cosas que se peden hacer desde la BIOS se deben hacer llamando la tabla de interrupciones que es donde estan alojados sus servicios...
  2. que nisiqiuera usan printf solo utilizando la INT10h que es la que pone caracteres en pantalla... esa parte es irrelevante.... porque obvio que si la idea es afectar la BIOS pues todo es lenguaje de bajo nivel y por ende nisiquiera el runtime de lenguaje C esta presente... o sea nisiquiera el printf.
  3. Fijense que cada vez que ustedes actualizan el firmware de la BIOS requieren permisos para hacerlo, y no necesitan ninguna vulnerabilidad del sistema. Este virus se instala ejecutando un script de phyton, script que requeire permisos de administador.. tal como si estuvieran cambiando voluntariamente el firmware de la BIOS...
  4. En ambos casos unix y windows indica que se debe instalar el virus primero en BIOS (lo hacen al ejecutar el script de phyton), luego el efecto del virus no se siente sino hasta el siguiente reinicio donde el codigo modificado de la BIOS debe buscar hacer algo con el sistema operativo antes de que este arranque y modifique la tabla de interrupciones... es alli donde habla de tratar de injectar codigo en archivos del sistema antes de que este se cargue.... pero como estan en BIOS no saben ni que sistema esta instalado ni en que disco ni en que particion ni que version de librerias tiene etc etc... entonces planear un ataque asi se hace una tarea casi imposible pues injectar codigo en un binario requiere conocer exactamente cual binario es y desde luego en que disco esta... si a esto le sumamos que en al fase BIOS nisiquiera se conoce que sistema de archivos hay la tarea se hace aun muchisimo mas compleja... casi imposible que funcione en dos computadores iguales y pegados uno al lado del otro...
  5. Inoculacion >Desde Windows Vista y en todas las versiones de UNIX que conozco ejecutar esos script requiere privilegios de administrador, asi que los sistemas modernos ya estan protejidos contra eso desde que tengas UAC activado en el caso de windows y desde liego que no le des permisos de admin a todo el mundo.
  6. Un problema grave de esta tecnica ( y por lo cual en 15 años no ha prosperado ) es que es altamente dependiente del hardware... es decir una BIOS del mismo fabricante pero de un lote ( y posiblemente version ) levemente diferente puede no verse afectada para nada. Incluso se puede hablar que el virus deberia tener muchas versiones una por cada tipo y vesion de bios existente teniendo claro que en muchos modelos nisiquiera funcionara ese tipo de ataque.
  7. La propia ventaja de ser independiente del sistema operativo es su mayor desventaja... pues no tiene ni idea de que sistema operativo esta montado, ni en que disco ni enque particicion ni que ubicacion exacta de los binarios existe , porque claro debe buscarlos por direccion de disco... pues tampoco tiene idea del sistema de archivos, es un sistema cifrado? peor...
  8. Por esto en el caso que el virus logre ser inoculado en la BIOS y este no encuentre lo que quiere dañar (lo cual es altisimamente probable ) el virus no haria nada... en el peor de los casos no arrancaria el sistema y pues eso implica actualizar el firmware de la bios de nuevo y luego correr un scandisk para buscar cualquier basura que haya escrito en disco incluso en el espacio en blanco.
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
Otra posible solución (al que le de miedo dañar la BIOS si se llegara a actualizar mal) es usar otro sistema operativo que no sea Windows (Linux, BSD, Solaris... que se yo... hay para escoger)
no importa el sistema operativo, porque finalmente el 'virus' no es sino una aplicacion que modifica el firmware de la BIOS lo cual se puede hacer desde windows o linux o unix... lo único necesario es ejcutar el progrma que actualiza el firmware usando privilegios de administrador...:p

igual que importa... hacer que ese virus funcione de manera importante... es una tarea prácticamente imposible..
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,744
1) Modify shadow file on unix
2) Code injection on windows binaries

Me queda la duda, creo que la BIOS no entiende los sistemas de archivos que hay en el disco (no esta entre sus tareas saber eso)

Injector tool is a 100-line python script!"

O sea que para infectarme tengo que tener instalado Python, y que ademas tengo que darle permisos de administrador a dicho script, como virus me parece bastante ineficiente a la hora de infectar :p

Yo quisiera que mostraran un video donde logren hacer daño a un sistema operativo moderno (lease diferente de DOS, Win 9x, Unix viejos), es decir, donde el sistema operativo trabaje con su propia tabla de interrupciones, solo han dicho que lograron hacerlo en una maquina virtual pero no han hecho ninguna demostracion de como y mucho menos de alguna infeccion en una maquina real.


Saludos
 

-HaDeS-

Lanero Reconocido
Se unió
18 Oct 2005
Mensajes
483
HOHOHO... acabo de actualizar mi bios con un simple programa desde windows :O..No me soprende ese virus-.. habra que haber alguna aplicacion desde windows de borrado y reinstalacion de bios jejeje
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
HOHOHO... acabo de actualizar mi bios con un simple programa desde windows :O..No me soprende ese virus-.. habra que haber alguna aplicacion desde windows de borrado y reinstalacion de bios jejeje



muchas de las actualizaciones de bios modernas se hace asi:


pagina del fabricante
buscar modelo de bios
bajar la actualización del firmware
doble click
next next next finalizar
reiniciar

:confused:

Ese virus nisiquiera es un virus es una actualizacion de la bios que hay que instalr voluntariamente...
 

johansan

Lanero Reconocido
Se unió
30 Ene 2004
Mensajes
3,960
LOOOL.
esto existe hace mucho tiempo, lo que pasa es que no fue publico.
un conocido desarrollador de soft hace muchisimos años hizo uno y se vengo de una institución que le terminaron el contrato, por mas que reinstalaran las maquinas siempre resultaba el virus, porque el lo dejo en la BIOS como una bomba logica que se activara cada X tiempo.
eso fue como en el 98-99.

assembler FTW!
 
Arriba