O pesquisador em segurança da informação John Heasman publicou, na última quarta-feira (15/11), um documento onde ele descreve um método para esconder rootkits em placas de vídeo e rede. Os rookits podem sobreviver mesmo após a reinstalação do sistema operacional.

O documento Implementing and Detecting a PCI Rootkit [PDF, inglês] explica como funções do Advanced Configuration and Power Interface (ACPI), disponíveis na maioria das placas-mãe, podem ser usadas para armazenar e executar um rootkit capaz de sobreviver reinicializações e reinstalações do sistema, além de como usar a expansão de memória disponível em placas PCI para executar tais códigos maliciosos.

“Não acredito que essas técnicas se tornem comuns dentro de um curto prazo devido ao fato de que a maioria das pessoas ainda não instalam os patches de segurança da Microsoft e não executam um programa antivírus regularmente. Não vejo a necessidade dos criadores de malware de utilizarem essa técnica como meio de infecção”, diz Heasman, que é pesquisador da Next-Generation Security Software, no documento. “Se um usuário pode detectar um malware e removê-lo, há muitas outras maneiras pouco suspeitas de contaminação na Internet”, justifica.

Heasman sugere que para se defender de um ataque que utiliza as técnicas que ele descreve seria necessário o uso do Trusted Platform Module: “…computadores que utilizam essa técnica de proteção do boot estarão imunes a este tipo de ataque”, explica.

O Trusted Platform Module é um chip polêmico que é capaz de detectar qualquer modificação no software e no hardware. Ele pode ser usado para autenticação e controle do uso de mídia digital como recurso antipirataria. Sua aplicação até o momento é limitada, mas o Windows Vista deve ser compatível com chips de TPM e o famoso recurso de criptografia do Windows Vista, o BitLocker, também pode usar o TPM como meio de autenticação.

Compartilhar |  Imprimir

9 comentários | Vírus & Exploits