El post que buscas se encuentra eliminado, pero este también te puede interesar

El “chip BIOS” de tu PC puede estar controlándote !!

El “chip BIOS” de tu PC puede estar controlándote

El “chip BIOS” de tu PC puede estar controlándote !!

Recientemente expertos en seguridad informática han expuesto públicamente cómo funciona el sistema comercialmente denominado “CompuTrace” y que originalmente es un Software “antirobo”. Han demostrado en la conferencia hacker “Hat Black” cómo la mayoría de los BIOS populares (AMI, Award, Phoenix) pueden estar infectados fácilmente por un virus Rootkit (un programa que se oculta ante el Sistema Operativo siendo casi indetectable e imperceptible) contenido en la memoria del BIOS, el virus es persistente contra los típicos “formateos”.


El título de este artículo va a sonar paranoico para el clásico perfil del usuario medio de Internet: Escéptico, exhibicionista, confiado, fan, consumista, conformista, dependiente, etc. Según ellos (la gran mayoría) en la nueva moral “moderna” la privacidad debe morir… Y todo el mundo debe estar registrado con nombre, apellido, foto, y todos sus datos personales, junto a sus amigos en alguna “Red Social”, si no, claro, no queremos ser unos “marginados fuera del sistema”. Indirectamente, según la nueva moral, todo aquél que quiera privacidad es un potencial “terrorista”.

Ojalá lo que yo escribiese fuera de Ciencia Ficción, o estuviera equivocado. (Uno muchas veces se equivoca). Pero en esta temática sobre la cual escribo (política y tecnología) el tiempo y la experiencia no hacen más que demostrar y confirmar la información o los ensayos que vengo publicando en la red.

En este caso, para el lector no informático o tecnofóbico: Nos referimos con BIOS al Software esencial de toda computadora/ordenador, el cual esta grabado en una memoria o chip de todas las mismas, y cuya función es elemental: la de encender y reconocer el hardware de todas las PC, siendo lo primero que se ejecuta.

Recientemente, unos expertos en seguridad argentinos han mostrado en conferencias públicas cómo funciona el sistema comercialmente denominado “CompuTrace” y que originalmente es un Software “antirobo”. En pocas palabras, han mostrado públicamente cómo la mayoría de los BIOS populares (AMI, Award, Phoenix) pueden estar infectados fácilmente por un virus Rootkit (un Software que se oculta ante el Sistema Operativo siendo casi indetectable e imperceptible) contenido en la memoria del BIOS. Eso haría al virus persistente contra los típicos formateos de un disco rígido; el virus enviaría información conectándose a una casa central, monitoreando la IP(dirección única en Internet) entre otra información y, probablemente, dando control remoto a los agentes.

Esta tecnología esta patentada por EEUU, teniendo en cuenta las leyes antidemocráticas que hay allí (como la de las puertas traseras como requisito legal), es un dato importante.

Lo peligroso: Este sistema comenzó a implementarse MASIVAMENTE en las PC y portatiles Notebook’s. Quedando activado o estando ahí posibilitando fácilmente su activación y dejando vulnerable la privacidad de dicha máquina. El mismo virus rootkit es independiente del Sistema Operativo. La pregunta inevitable, ¿la información de pueblos enteros, de Estados soberanos puede ser fácilmente también afectadas por este método?

A estilo “bonustrack”, informar también: Emails encriptados gratuitos serían una trampa, era un poco “sospechoso” (de trampa) los servicios de Correo encriptado como Hushmail o S-mail, estarían TAMBIÉN

* siendo controlados por la NSA . Como también Google estaría empezando a ser informadora de esta agencia
Cuba ya se ha puesto a la defensiva contra el plan imperialista de “exportación de Facebook/MSN” , aunque el ALBA recientemente sufre una operación de prensa contra Chávez relacionada con “la censura de Internet”.

bios


Mebromi: el primer rootkit BIOS en la naturaleza



Espia


En las últimas semanas, una empresa de seguridad china llamada Qihoo 360 blogs sobre un nuevo rootkit BIOS golpear ordenadores chinos. Esto resultó ser un descubrimiento muy interesante, ya que parece ser el primer malware metas reales BIOS del sistema ya que una prueba bien conocida de concepto llamado IceLord en 2007. El malware se llama Mebromi y contiene un poco de todo: un rootkit BIOS Award BIOS dirigidas específicamente, un rootkit MBR, un rootkit en modo kernel, un infecta archivos PE y un troyano downloader. En este momento, Mebromi no está diseñado para infectar 64-bit del sistema operativo y no es capaz de infectar el sistema si se ejecuta con privilegios limitados.

La infección comienza con un gotero pequeño cifrada que contiene cinco archivos de recursos encriptadas: hook.rom, flash.dll, cbrom.exe, my.sys, bios.sys. El objetivo de estos archivos se presentan más adelante en este análisis.

La infección está claramente centrado en los usuarios chinos, debido a que el gotero está cuidadosamente comprobando si el sistema se va a infectar está protegido por un software de seguridad chino Rising Antivirus y Jiangmin KV Antivirus. Para acceder a la BIOS, la primera infección necesita se cargan en modo de núcleo para que se pueda manejar con la memoria física en lugar de la memoria virtual.

Muchos de ustedes pueden recordar el viejo CIH / Chernobyl infección, el virus infame descubrió en 1998 que fue capaz de actualizar el BIOS de la placa, borrarla. Incluso CIH necesaria para acceder en modo kernel para llegar a la BIOS, aunque en el momento en que el virus estaba explotando un bug escalada de privilegios en el sistema operativo Windows 9x que le permitió modificar la tabla de descriptores de interrupción con su propia carga de modo de usuario, a continuación, activar la manejador de interrupciones y sobrescribe el código malicioso se ejecuta en modo kernel. Mebromi no utiliza este tipo de truco de elevación de privilegios más, sólo tiene que cargar su propio controlador modo kernel que se encargará de la infección por el BIOS. Para ello, utiliza dos métodos: o bien podría extraer y cargar la biblioteca flash.dll que se cargue el controlador bios.sys, o se detiene la llave de servicio beep.sys, remplazando el conductor beep.sys con sus propias biografías. sistema de código, reinicie la llave de servicio y restaurar el código beep.sys original.

El conductor bios.sys es el código que manejar la infección BIOS. Para leer el código de BIOS, que necesita para asignar la memoria física ubicada en dirección de memoria física 0xF0000, aquí es donde la ROM BIOS de su residencia habitual. Una vez leído, el controlador verifica si el ROM BIOS Award BIOS es, mediante la comprobación de la presencia de la cadena: $ @ AWDFLA. Si lo encuentra, el controlador intenta localizar el puerto SMI que será utilizada por el rootkit para actualizar la ROM BIOS.

mbr


Si la ROM BIOS coincida con la cadena, el rootkit guarda una copia de la BIOS en el archivo C: bios.bin y pasar el siguiente paso para el componente de modo de usuario de la infección. El gotero extrae dos archivos: cbrom.exe y hook.rom. Cbrom.exe es una herramienta legítima desarrollada por Phoenix Technologies, que se utiliza para modificar el Award / Phoenix BIOS ROM binarios. Hook.rom es el rootkit ISA ROM BIOS que se añade al binario BIOS, que contiene la infección de rootkit. El gotero cbrom.exe ejecuta con el parámetro modificador / isa, pasando el archivo hook.rom. De hecho, antes de inyectar el malicioso ROM ISA, el cuentagotas comprueba el código de ROM BIOS buscando el "rom gancho" cadena, utilizado como un marcador de la infección. Si lo encuentra, significa que el BIOS ya está infectado y no es necesario que se infecta de nuevo.

http://webrootblog.files.wordpress.com/2011/09/bios_infected.jpg


Después de que el archivo se ha modificado bios.bin, el conductor bios.sys enviar al puerto BIOS SMI el comando 0 × 29, que se utiliza para borrar la BIOS flash, y luego el 0x2F comando se utiliza para escribir el nuevo código de la ROM del BIOS a la BIOS ROM.

El BIOS está infectada, y el cuentagotas va a su siguiente paso: infectar el Master Boot Record. La infección es de 14 sectores largo y el MBR original se guarda en el sector 7. Para evitar posibles problemas de inicio, el MBR infectado almacena una copia de la tabla de particiones del MBR original. Por último, el cuentagotas extrae el conductor my.sys en la raíz de la unidad C:. My.sys es un rootkit en modo kernel que secuestra Disk.sys 's IRP principales funciones, mediante la reorientación de la IRP_MJ_READ / WRITE y IRP_MJ_DEVICE_CONTROL funciones nativas. Se utiliza para ocultar la infección en el disco. Incluso si la infección BIOS no tiene éxito, el rootkit no infectar el MBR.

En el siguiente inicio del sistema, después de la fase BIOS POST, el código malicioso inyectado en su interior se prepara la infección MBR completa (todos los primeros 14 sectores se almacenan dentro de la ROM BIOS malicioso, 7168 bytes en total) y comprueba el código MBR del duro conducir mirando si la infección ya está presente. Para ello, las revisiones al BIOS de códigos maliciosos para detectar la presencia de la cadena "int1" en la posición 0 × 92. Si la cadena no se encuentra, el BIOS ROM malicioso se sobrescribirán todos los 14 primeros sectores del disco duro, restaurando así la infección MBR.

virus  rootkit



El procedimiento de inicio del sistema continúa y el control pasa ahora en el registro maestro de arranque malicioso. Aquí la carga maliciosa analiza la tabla de particiones MBR original y busca la partición activa, comprobando si está utilizando una partición NTFS o FAT32 sistema de archivos. El código malicioso MBR contiene rutinas analizador de hecho NTFS/FAT32, que sirve para entrar al sistema de archivos para buscar el archivo winlogon.exe o wininit.exe. Cuando se encuentra, el código malicioso contiene una carga útil de infección de archivos, capaz de inyectar código malicioso en el archivo especificado y secuestrar el punto de entrada de la misma. Antes de infectar el archivo, los controles MBR código malicioso si ya está infectado, mediante la búsqueda de la cadena "CNNs" en la posición 0 × 50 desde el comienzo del archivo PE. Esta es la marca de infección. Si la cadena no se encuentra, la infección se almacena una carga útil encriptada - alrededor de 600 bytes de código - dentro winlogon.exe o Wininit.exe y secuestra el punto de entrada PE al inicio de la misma, salvando el punto de entrada original en la posición 0 × 60.

El “chip BIOS” de tu PC puede estar controlándote !!


El trabajo de la infección MBR termina aquí, esperando el inicio de Windows que cargará el ejecutable parcheado. Cuando se carga, la carga útil de auto-descifrar su código malicioso y carga en la memoria del conductor my.sys. A continuación, intenta descargar una infección adicional de la dirección URL (ahora no disponible): http://dh.3515.info:806/test/91/calc .

El concepto detrás de Mebromi no es nuevo. De hecho, debemos recordar que el rootkit IceLord BIOS publicado en 2007, una prueba pública de concepto capaz de dirigirse Award BIOS ROM, con un enfoque muy similar a la Mebromi una - ¿o deberíamos decir que Mebromi es algo más que inspirado por el rootkit IceLord ?

Almacenar el código malicioso dentro de la ROM BIOS en realidad podría convertirse en algo más que un problema de software de seguridad, dando al hecho de que incluso si un antivirus detecta y limpia la infección MBR, se restauró en el siguiente inicio del sistema cuando la carga útil maliciosa BIOS sobrescribir el código de MBR de nuevo. El desarrollo de una herramienta antivirus capaz de limpiar el código del BIOS es un desafío, porque tiene que ser totalmente a prueba de errores, para no anular el sistema que no arranca en absoluto. El trabajo de manipulación con tales códigos específicos del sistema debe dejarse en manos de los desarrolladores del modelo de placa base específico, que liberan actualizaciones de BIOS junto con herramientas específicas para actualizar el código BIOS.

Por otro lado, si bien este tipo de infección es potencialmente una de las infecciones más persistentes conocidos por ahí en el medio natural, difícilmente se convertirá en una amenaza importante debido al nivel de complejidad necesario para lograr el objetivo. Mientras que una infección modo kernel o una infección MBR todavía podría funcionar de forma genérica entre todos los PC por ahí - y todavía tienen un enorme espacio libre disponible para jugar, un rootkit basado en BIOS debe ser totalmente compatible con todos los principales BIOS rom por ahí, debe ser capaz de infectar a todas las diferentes versiones de premio, Phoenix, AMI BIOS está ahí fuera, un nivel de complejidad que es simplemente no solicitada para escribir una infección persistente bueno (por ejemplo rootkit TDL, comunicados de diversos Rustock, rootkit ZeroAccess entre todos). De hecho, ¿por qué sólo targetting Mebromi Award BIOS rom? Tal vez porque ya había una prueba conocida del concepto que tiene 5 años Award BIOS focalización online ROM disponible.

Son BIOS rootkits una amenaza real? Sí, se puede considerar la primera Mebromi incidente real rootkit BIOS descubierto en la naturaleza - vamos a considerar IceLord rootkit BIOS más una prueba de concepto. ¿Deberíamos estar preocupados por rootkits BIOS? Bueno, mientras tratamos de descubrir si nuestro PC está infectado por un desconocido y rootkit super-stealth BIOS, vamos a tratar de ver si hay un rootkit en modo kernel más "humilde", que ya está infectando a nuestro PC, lo que permite a un atacante remoto silenciosamente dueños de nuestro sistema.

bios


Cita de: http://forums.***.org/index.php?showtopic=104790

La infección de una BIOS o el firmware con código malicioso es posible, por supuesto, y yo creo que se ha hecho en el pasado, sin embargo hay un problema con él. No todas las placa base utiliza el mismo BIOS. Incluso cuando dos placas diferentes utilizan el mismo BIOS, no estoy seguro de si la configuración sería lo suficientemente similares como para que usted pueda inyectar código a través del mismo método. Tenga en cuenta que no tendría que usar los drivers para inyectar las cosas en la BIOS. Acceso directo al hardware es posible, de lo contrario los conductores no tendrían acceso y tampoco lo haría utilidades del BIOS flash que fabricantes de placas base hacen que actualice el BIOS de su placa base. El área de la infección por hardware es una especie de un extraño, porque hasta ahora no ha sido necesario. Los rootkits se pueden cargar desde el sector de arranque y el sistema operativo realmente no puede hacer nada para protegerse de dicho como es, así que hasta que este "arranque seguro" cosa se nos impone, es probable que no va a ver una gran cantidad de hardware infecciones. En cuanto a cuántas vemos después del inicio seguro, que sólo depende de lo fácil que es para romper o eludir ella. Algo me dice que no va a ser tan seguro como ellos dicen.








Espia

Comentarios Destacados

@masitocaruso +17
quedate tranki que cazo la pinza y no existe mas.,.. o le quito la pila

24 comentarios - El “chip BIOS” de tu PC puede estar controlándote !!

@masitocaruso +17
quedate tranki que cazo la pinza y no existe mas.,.. o le quito la pila
@jaguarexe
Baya mierda, no importa si no uso internet no pasa nada jajaja
@Gus_P +2
muy buena info te felicito y van 10
@RHFreeman +5
masitocaruso dijo:quedate tranki que cazo la pinza y no existe mas.,.. o le quito la pila

sacandole la pila solo se pierde informacion de configuraciones del bios, pa..
@ESP7938 +1
RHFreeman dijo:
masitocaruso dijo:quedate tranki que cazo la pinza y no existe mas.,.. o le quito la pila

sacandole la pila solo se pierde informacion de configuraciones del bios, pa..

DEPRON... ACTUALIZANDO EL FIRMWARE DE LA BIOS SI DESAPARECEEE
@NoTemo -3
existe alguna aplicación para detectar este virus?
@masitocaruso
RHFreeman dijo:
masitocaruso dijo:quedate tranki que cazo la pinza y no existe mas.,.. o le quito la pila

sacandole la pila solo se pierde informacion de configuraciones del bios, pa..

por eso puse como opción la pinza jaja
@pool122
lo jumpias al bios y ya esta !!!! después lo tenes que poner en hora de nuevo... tampoco es una cosa del otro mundo
@ovacapo -3
[bEXCELENTE INFORME ][/b] +10
@AurelianDinco +1
Gracias por tu informe...! Te dejo 7 puntos pero es que estos tipos de post bale mas de 10 puntos ...por que informar de estos virus hace mas de los que se llama puntos..! Por hoy solo 7 me quedaron...!
@robdnb +1
que bueno,gracias por avisar+8
@macanba +1
Excelente Amigo, muy buena la info.!! Reco y Fav volvere Amigo
@totouy +1
Muchas gracias bro !!!!
@macanba +1
@totouy De nada Amigo.!!
@macanba
De vuelta Amigo, con los merecidos +10
@acmeac +1
jojojo buenisimo pense que era mentira !
@totouy +1
Gracias por pasar y el reco
@acmeac +1
@totouy no esta muy bueno el post exelente +5
@Nevilk +2
Buena información gracias a la Reco de @macanba
me interesa el tema investigare
+10
@totouy
Gracias por pasar
@XXgrifusxx
la mia no tiene o no lo veo
@totouy +1
el bios de la imagen que puse es de una placa madere vieja , en las nuevas son mas chicos .

mbr