Trojan.Bioskit.1 заражает BIOS компьютера
В первых числах сентября в руки экспертов вирусной
лаборатории компании «Доктор Веб» попал примечательный экземпляр
вредоносной программы, получившей название Trojan.Bioskit.1.
В целом это стандартный по функционалу троянец, заражающий MBR
(загрузочную область диска) и пытающийся скачать что-то из сети. После
проведенного специалистами «Доктор Веб» исследования оказалось, что в
него также заложены механизмы, позволяющие заразить BIOS материнской
платы компьютера. Заражение BIOS
... когда драйверу bios.sys удается опознать Award BIOS.
Надо сказать, что именно наличие этого драйвера выделяет данную
вредоносную программу из большого списка подобных троянцев, заражающих MBR.
Упомянутый драйвер очень мал и обладает пугающим деструктивным потенциалом. В нем реализовано три метода:
- Опознать Award BIOS (попутно определить размер его образа и, самое главное, I/O порта, через который можно программно заставить сгенерировать SMI (System Management Interrupt) и таким образом исполнить код в режиме SMM);
- Сохранить образ BIOS на диск в файл С:\bios.bin;
- Записать образ BIOS из файла С:\bios.bin.
Получить доступ и тем более перезаписать микросхему с BIOS —
задача нетривиальная. Для этого сначала необходимо организовать
взаимодействие с чипсетом материнской платы для разрешения доступа к
чипу, затем нужно опознать сам чип и применить
знакомый для него протокол стирания/записи данных. Но автор этой
вредоносной программы пошел более легким путем, переложив все эти задачи
на сам BIOS. Он воспользовался результатами работы китайского исследователя, известного под ником Icelord. Работа была проделана еще в 2007 году: тогда при анализе утилиты Winflash для Award BIOS был обнаружен простой способ перепрошивки микросхемы через сервис, предоставляемый самим BIOS в SMM (System Management Mode). Программный код SMM в SMRAM не виден операционной системе (если BIOS
корректно написан, то доступ к этой памяти им заблокирован) и
исполняется независимо от нее. Назначение данного кода весьма
разнообразно: это эмуляция не реализованных аппаратно возможностей
материнской платы, обработка аппаратных ошибок, управление режимами
питания, сервисные функции и т.д. ...
Заражение MBR
Троянец размещает в MBR код, основная задача которого — инфицировать файлы winlogon.exe (в операционных системах Windows 2000 и Windows XP) или wininit.exe (Windows 7). Для решения этой задачи Trojan.Bioskit.1 располагает собственным парсером NTFS/FAT32.
Троянец ведет счетчик запусков, который обновляется раз в день. Через
50 дней предполагается дезактивация зараженного модуля: он будет изменен
таким образом, что вирусный код перестанет получать управление. Но в
данной версии троянца этот механизм отключен. Всего Trojan.Bioskit.1 включает две версии шелл-кода, из которых в настоящий момент активна только одна.
Заключение
Трудно недооценивать опасность подобного рода угроз, особенно с
учетом того, что в будущем возможно появление более совершенных
модификаций данной троянской программы либо вирусов, действующих по
схожему алгоритму. В настоящий момент в антивирусное ПО Dr.Web добавлено
детектирование и лечение MBR, системных файлов и файловых компонентов
вируса. В случае если после детектирования и лечения данной угрозы
система вновь оказывается инфицированной Trojan.Bioskit.1,
источником заражения, скорее всего, является инфицированный BIOS
компьютера.
Специалисты компании «Доктор Веб» продолжают работать над
проблемой. -- Вот такие дела.
Интересующиеся подробностями могут почитать их на сайте «Доктор Веб», от себя же добавлю - если Вам дороги ваши данные - делайте архивы и не балуйтесь самолечением, звоните сразу.
|
