martes, 13 de mayo de 2008

SMM rootkit


Se ha investigado un nuevo tipo de malware, aún más difícil de localizar que los ya conocidos: el System Management Mode (SMM) rootkit. Este nuevo malware es capaz de alojarse en un área del procesador (Intel) poco conocida, donde no podría ser detectado por el software antivirus actual. Sí tendría, sin embargo, acceso a la memoria física, y sería capaz de controlar el hardware de la máquina.

No es el primer rootkit que utiliza capacidades del hardware poco conocidas. Hace dos años, la investigadora Joanna Rutkowska creó un rootkit llamado Blue Pill, que aprovechaba para ocultarse la tecnología de virtualización a nivel de microprocesador que traían los chips de AMD.
En el caso de este nuevo rootkit, se estaría utilizando propiedades de los chips de Intel que ya vienen incorporadas desde el i386, de acuerdo a este artículo de PC World. Esta funcionalidad es utilizada para la administración de energía, o para que los fabricantes de hardware puedan aplicar actualizaciones vía software.

Gracias a que la tecnología de la que se aprovecha SMM rootkit está mucho más extendida, el impacto de este nuevo malware podría ser mayor que el que tendría un rootkit como Blue Pill.

Los creadores de SMM rootkit, Shawn Embleton y Sherri Sparks, harán una presentación en BlackHat USA, al igual que hizo en 2006 la creadora de Blue Pill.

Presentación que se hará en BlackHat USA

Otras referencias:
The Inquirer
Infoworld

No hay comentarios: