Para Intel, vírus que afetam GPUs não são motivo para pânico

Por Redação | 02 de Setembro de 2015 às 09h24

Se existe uma categoria de vírus difíceis de se lidar são aqueles que se instalam na BIOS de computadores ou, como descoberto mais recentemente, em GPUs. Mas, para a Intel, pragas virtuais que se alojam nas memórias de placas de vídeo não são necessariamente motivo para pânico, uma vez que seu funcionamento pode até parecer arrojado, mas não permite que passem invisíveis por softwares antivírus.

Essa foi a descoberta de um grupo de pesquisadores de segurança do McAfee Labs, uma das divisões da Intel que, ao lado de um grupo de especialistas em computação paralela e visual, estudou exatamente de que maneira tais ameaças funcionam. E a conclusão é que, por mais que o código malicioso esteja disponível e atuante, lidar com ele pode não ser uma tarefa muito complicada.

A ideia inicial é que os vírus, uma vez instalados na GPU, teriam acesso direto às memórias do computador por meio de um sistema chamado DMA, ou direct memory access. A partir dali, então, poderia tomar conta do computador, seja para assumir controle dele ou roubar dados, duas alternativas que simplesmente estão fora de questão tanto para usuários finais quanto corporativos.

O segredo para que isso não seja assim tão grave, porém, está nos privilégios de kernel usados pela placa de vídeo para acessar a memória no computador hospedeiro. O processo responsável por isso é detectável e, mesmo que seja deletado pelo próprio malware após o fim de sua execução, deixa rastros que podem ser interpretados pelo sistema operacional como problemas de funcionamento, muitas vezes resetando a GPU e cortando a atuação do vírus.

Qualquer método para contornar essa funcionalidade, então, pode e deve ser detectado por antivírus, muitos, inclusive, já em atuação hoje em dia, tornando muitos usuários protegidos contra pragas desse tipo. Em outros casos, medidas podem acabar gerando comportamento inadequado do computador, ocasionando travamentos ou funcionamento irregular que podem, também, acabar levando o próprio usuário a descobrir o problema.

Além disso, os especialistas da McAfee refutaram a afirmação dos responsáveis pela praga, chamada Jellyfish, que dizem que o código malicioso é capaz de persistir mesmo após o desligamento e reinicialização do computador. Isso seria possível, sim, mas não da mesma forma que um vírus de BIOS, por exemplo, já que os processos responsáveis precisam estar constantemente rodando e, sendo assim, podem ser detectados por softwares de segurança.

Os experts apontaram ainda a existência de ferramentas da própria Microsoft, para o Windows, capazes de prevenir a instalação da praga. É o caso, por exemplo, do Early Launch Anti-Malware (ELAM) ou do Secure Boot, que trabalham para promover a segurança na inicialização do computador.

É claro, agora que a praga está aberta ao público, hackers começarão a aprimorá-la de forma a tornar tais mecanismos de detecção inúteis e aumentar o escopo de infecção. Ainda assim, para a Intel, não é preciso mudar muita coisa em relação ao que já é feito hoje em dia, apenas prestar mais atenção caso esse novo tipo de malware comece a se espalhar por aí.

Fontes: Intel, PC World