Share
รายละเอียดของข่าว

บริษัทด้านความปลอดภัยในประเทศจีน ค้นพบมัลแวร์ชนิดใหม่ชื่อ Mebromi ซึ่งกำลังระบาดในประเทศจีน ที่น่าสนใจคือมันเล่นงานคอมพิวเตอร์ตั้งแต่ระดับ BIOS ขึ้นมาเลยทีเดียว

กระบวนการทำงานของมันจะซับซ้อนหน่อย เริ่มจากมันจะหาทางติดตั้งไดรเวอร์ปลอมๆ ที่ทำงานในระดับเคอร์เนล (kernel mode driver) เพื่อเข้าถึง physical memory ในเครื่อง เมื่อติดตั้งไดรเวอร์และเข้าถึง physical memory ได้แล้ว มันจะตรวจสอบที่ตำแหน่ง 0xF0000 ว่ามี BIOS อยู่หรือไม่ (ซึ่งส่วนมากมักจะใช่) และเรียกโปรแกรมเขียน BIOS (ซึ่งเป็นของแท้จากบริษัทผลิต BIOS เสียด้วย) มาเขียนโค้ด rootkit ลงไปที่ BIOS

นอกจากจะแก้ไขข้อมูลใน BIOS แล้ว ตัวมัลแวร์จะไปแก้ข้อมูลบางส่วนของ Master Boot Record ด้วย เรียกว่าต่อให้ถ้าเขียน BIOS ไม่สำเร็จ ก็ยังมี MBR อีกอันที่จะโดนมัลแวร์อยู่ดี



บริษัท บลูโอเชี่ยน คอมมิวนิเคชั่น จำกัด | โทรศัพท์: (02) 402-8844