Symantec的安全研究者们最近发现了一种新的概念验证型病毒,该病毒的目标并非操作系统,而是AMD处理器!
该蠕虫病毒共有两个版本,攻击目标为32位和64位AMD处理器。Symantec将该种在线病毒命名为w32.bounds和w64.bounds。因为该病毒包括概念验证型代码,所以这两个版本的病毒被定性为低等级威胁。
Symantec安全响应小组高级主管Vincent Weafer警告用户:尽管从这个角度出发,该病毒涉及的只是危害不大的概念验证型代码,但是该病毒可以被利用,生成影响计算机的恶意程序,而不必去关系该计算机所运行的操作系统。
“如果我可以到达处理器级别,那么我真的就可以使我的东西进入到核心硬件,那么我就很有可能躲过某些核心级保护和用户级保护。这些对于病毒作者进入最底层来说,具有很大的诱惑力。”Weafer告诉媒体。
“一旦它运行了,我就可以获得系统底层的访问权,那么我就可以相当容易地去做任何我想做的事情。”
但是,要实现这样的攻击,可能还有一点小小的障碍,因为不同的处理器使用不同的Operating Code(opcode)语言。
“典型意义上来说,进入到操作码层次并没有什么大的作用,因为那里有很多变量,那么在目标机器为多台的时候,你不得不选择放弃,”Weafer说道。
逻辑上的下一步将是与32位和64位的恶意软件相结合,产生出一个单独的病毒,这种病毒可以瞄准这两者的芯片组。Weafer还指出,攻击AMD处理器比攻击32位或者64位的Intel芯片容易,是因为这这两个AMD系列芯片与Intel系列相比,32位和64位处理器的相似程度更高。
w32.bounds和w64.bounds病毒通过将其自身绑定到Windows可执行文件中进行传播,这就使他们丧失了称为所谓的芯片级别威胁的资格。然后,他们通过执行芯片级别的汇编代码来进行这种攻击。
芯片级的攻击案例很少。过去比较知名的事件可以追溯到1998年,当时,一种名为“ CIH/Chernobyl”的病毒能够将自己嵌入计算机BIOS闪存中,感染计算机系统。
现在芯片级的攻击最多也只是一种理论上可行的攻击手段。针对操作系统的病毒相对来说更容易编写,并且Windows操作系统的市场统治地位也为病毒作者们提供了一个广阔的目标区域。
附件:
4335402006101520558.jpg