Aercom.by - Новости безопасности в Беларуси и СНГ

19 октября 2017 г., четверг

Отраслевые мероприятия (Беларусь)

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

«Доктор Веб» обнаружил троянца, способного заразить BIOS
14 сентября, 2011

Специалисты компании «Доктор Веб» обнаружили троянца, способного штатными средствами перепрошить BIOS и поддерживать заражение загрузочного сектора жесткого диска. Эксперты считают, что это либо тестовая версия вредоносной программы, либо она утекла в интернет раньше, чем этого хотел автор.

Вирусная лаборатория компании «Доктор Веб» сообщила об обнаружении экземпляра вредоносной программы, в которую заложены механизмы, позволяющие заразить BIOS материнской платы компьютера.

Как рассказывают в «Доктор Веб», первоначально дроппер (установщик) троянца Trojan.Bioskit.1 проверяет, запущены ли в операционной системе процессы нескольких китайских антивирусов: если таковые обнаруживаются, то троянец создает прозрачное окно, из которого осуществляется вызов его главной функции. Затем троян определяет версию операционной системы и в случае, если это Windows 2000 и выше (за исключением Vista), продолжает заражение.

В процессе своей работы дроппер распаковывает и сохраняет на жестком диске драйвер bios.sys. Затем, в зависимости от конфигурации системы, троянец инсталлируется в систему путем перезаписи системного драйвера или сбрасывает на диск библиотеку, пытаясь внедрить ее в системные процессы. Назначение данной библиотеки — запуск драйвера bios.sys штатными средствами.

Если драйвер bios.sys так и не удалось запустить, троянец переходит к заражению загрузочного сектора (MBR), переписывая первые 14 секторов жесткого диска.

Получить доступ и тем более перезаписать микросхему с BIOS — задача нетривиальная, говорят в «Доктор Веб». Для этого сначала необходимо организовать взаимодействие с чипсетом материнской платы для разрешения доступа к чипу, затем нужно опознать сам чип и применить знакомый ему протокол стирания и записи данных.

Trojan.Bioskit.1 нацелен на BIOS производства компании Award
Trojan.Bioskit.1 нацелен на BIOS производства компании Award

Автор Trojan.Bioskit.1 пошел более простым путем, переложив все эти задачи на сам BIOS. Он воспользовался результатами работы китайского исследователя под ником Icelord. Работа была проделана еще в 2007 г.: тогда при анализе утилиты Winflash для Award BIOS был обнаружен простой способ перепрошивки микросхемы через сервис, предоставляемый самим BIOS.

Для перепрошивки эта вредоносная программа использует утилиту Сbrom.exe от Phoenix Technologies, которую, как и все прочие файлы, несет в установочном пакете.

При всех последующих перезагрузках компьютера в процессе инициализации модицицированный BIOS будет проверять зараженность MBR и перезаражать его в случае необходимости.

Чем больше деталей функционирования вредоносной программы вскрывалось в процессе разбора, тем больше специалисты «Доктор Веб» укреплялись во мнении, что это скорее экспериментальная разработка, нежели полноценная вредоносная программа, — либо она утекла в Сеть раньше, чем этого хотелось автору. Об этом, в частности, могут свидетельствовать следующие факты: наличие проверки параметров командной строки (запуск данного экземпляра троянца с ключом -u полностью излечивает систему); использование сторонних утилит; присутствие двух разных вариантов заражения системных файлов (из которых используется только один); ошибки в коде, выглядящие, как описки, и др.

Заражению Trojan.Bioskit.1 могут подвергнуться только материнские платы, оборудованные BIOS производства компании Award, сообщили специалисты. Однако наличие Award BIOS не гарантирует заражение — из трех проверенных в вирусной лаборатории материнских плат заразить удалось только одну, а в двух других в памяти BIOS просто не хватило места для перепрошивки.

Интересно вспомнить, что в конце прошлого года отечественная компания Kraftway сообщила о начале выпуска так называемых «защищенных материнских плат», использующих модифицированный и освобожденный от уязвимых компонентов Phoenix Award BIOS.

Источник: www.cnews.ru

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.