Вирус в БИОСе как лечить? zhitsoboy.ru

Вирус в БИОСе как лечить?

Dr.Web forum

вирус Биос

atrocuk 10 Сен 2015

Прикрепленные файлы:

  • hijackthis.log8,14К 5 Скачано раз
  • cureit.7z550,29К 2 Скачано раз
  • ANATOLY-ПК_Anatoly_100915_162806.zip4,52Мб 0 Скачано раз

Dr.Robot 10 Сен 2015

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig

Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить.
  • В появившемся окне наберите cmdи нажмите клавишу . Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>»%userprofile%ipc.log» и нажмите клавишу , затем наберите там же команду explorer.exe /select,»%userprofile%ipc.log» и нажмите клавишу , нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

Dmitry_rus 10 Сен 2015

А при чем тут вообще BIOS? CureIt при последних сканированиях не выявляет заражений. Опишите внятно, что происходит, и не употребляйте терминов, значения которых представляете с трудом.

Несколько месяцев назад из Китая пришло неприятное сообщение: в стране принялся орудовать вирус, заражающий прямиком BIOS. Несмотря на то, что это мог еще печально известный «Чернобыль» (CIH) в прошлом веке, новый вирус с берегов Тяньцзы умеет больше: он не просто заражает системное программное обеспечение, но и обеспечивает злоумышленнику возможность управления вашим компьютером.

Давайте же посмотрим, как происходит заражение и что в этом случае делать.

Осторожно – инфекция!

Заражение (а инфицированию данным троянцем пока что подвергаются только материнские платы компании Award, но трудолюбивые китайские вирусописатели, думается, на этом не остановятся) происходит по следующей схеме. Сперва программа проверяет, запущены ли в системе антивирусы и определяет версию операционной системы. Если у вас стоит Windows 2000 и выше (за исключением Windows Vista), то дроппер (файл-носитель вируса) продолжает инсталляцию.

В частности, на жестком диске распаковывается и сохраняется драйвер %windir%system32driversbios.sys. Если в системе обнаруживается устройство \.MyDeviceDriver, то на хард добавляется библиотека %windir%flash.dll, которая пытается внедриться в системные процессы services.exe, svchost.exe и explorer.exe. Нужно это троянцу для запуска драйвера bios.sys и создания службы bios.

Если же устройство \.MyDeviceDriver у вас на компьютере отсутствует, китайщина инсталлируется в систему перезаписыванием системного драйвера beep.sys. В Windows 7 схема инсталляции немного другая: здесь дроппер сбрасывает на диск библиотеку %windir%flash.dll и сам же ее загружает.

После этого троянец сохраняет в корне диска C: руткит-драйвер my.sys. В случае если у вас материнская плата не от Award’а или драйвер bios.sys так и не удалось запустить, то программа переходит к заражению MBR (главной загрузочной записи). Для этого на диск записывается файл %temp%hook.rom и перезаписываются первые 14 секторов жесткого диска, включая MBR. Оригинальный MBR, впрочем, сохраняется в восьмом секторе.

Драйвер my.sys действует по-рабоче-крестьянски: перехватывает у системного драйвера disk.sys обработчики IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_DEVICE_CONTROL. При этом, по словам специалистов из Doctor Web, происходят следующие вещи:

* IRP_MJ_READ возвращает нули вместо первых 63 секторов винчестера;

* IRP_MJ_WRITE не позволяет осуществлять запись в первые 63 сектора. При этом вирус пытается разрешить своему дропперу перезаписать MBR и прочие секторы, но из-за явной ошибки в коде уловка не срабатывает. Таким образом, автор троянца разрешает перезаписывать 0x14 (20) секторов, а дроппер пишет только 0xE (14);

* IRP_MJ_DEVICE_CONTROL возвращает STATUS_UNSUCCESSFUL в ответ на запросы IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX и IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.

Если же у вас материнка таки от Award’а и вирус это опознал, то при помощи утилиты cbrom.exe от Phoenix Technologies (она содержится в ресурсах самой BIOS) он внедряет в образ свой модуль hook.rom в качестве ISA BIOS ROM, а затем отдает драйверу команду перепрошить BIOS из обновленного файла. Вот, собственно, и все: при следующей перезагрузке компьютера в процессе инициализации BIOS будет вызывать все имеющиеся PCI Expansion ROM, в том числе и зараженный hook.rom. Китайский код из этого модуля каждый раз будет проверять зараженность MBR и перезаражать ее, если вам удалось каким-то образом вылечить главную загрузочную запись. Далее троянец всего лишь размещает в MBR код, чья задача состоит в инфицировании файла winlogon.exe (в операционных системах Windows 2000 и Windows XP) или wininit.exe (Windows 7).

Читать еще:  Как повысить скорость загрузки в steam?

Спасение утопающих – дело рук…

Поскольку лечение зараженного BIOS – задача непростая даже для гигантов антивирусных лабораторий, посильную помощь при инфицировании вы можете оказать себе сами. Итак, если признаки заражения даже при полном сканировании и излечивании, переустановки системы или форматировании диска остаются, значит, дело, скорее всего, в проклятой китайщине. Разные антивирусы, кстати, детектируют его под разными названиями – какими именно, можно посмотреть здесь (http://www.virustotal.com/file-scan/report.html?id=7936deb5e6a236e8dce91352d0617e3db3bbe0fbaeba5fb08bbeac7590338c4d-1316346063).

Если вы знаете, как запустить троянца с ключом, то сделайте это, прибавив –u (эта функция, излечивающая систему, включая MBR и BIOS, была заложена самим вирусописателем). Если это не помогло (в более поздних «сборках» вируса этот ключ может быть удален), то с незараженного компьютера зайдите на сайт компании, которая выпустила вашу материнскую карту, и скачайте свежую утилиту BIOS Flash. Если с определением марки материнки возникли проблемы, то обратитесь в техническую поддержку производителя.

Затем запишите утилиту на какой-нибудь носитель (лучше на компакт-диск – его не заразить) и выставьте в настройках BIOS, чтобы загрузка шла в первую очередь с DVD-привода. Дальше, собственно, дело техники. Да, не забудьте после перепрошивки обновить драйвера, а лучше – поставьте свежую копию ОС.

Trojan.Bioskit.1 — новый вирус, который проникает в BIOS.

Компания Doctor Web сообщила об обнаружении нового экземпляра вредоносной программы, которая получила наименование Trojan.Bioskit.1. В общем, троянец этот идет со стандартными функциональными параметрами, MBR (заражающим загрузочную область диска) и пытающийся загрузить что-либо из сети. После многочисленных исследований, которые провели специалисты компании «Доктор Веб» оказалось, что в нем также присутствуют элементы, помогающие заразить BIOS системной платы компьютера.

Но не все факты до конца аргументированы, так как существует мнения о том, что это не вредоносная программа, а всего лишь эксперементалка. Или же могла произойти утечка из-под носа автора. В частности это связано со следующими фактами:

• Кодовые ошибки, имеющие вид описок;
• Присутствие 2-х различных вариаций заражения файлов системы (из которых только 1 используется);
• Срок отключения кода дезактивации в течение 50-ти дней;
• Загрузка сторонних утилит;
• Присутствие проверки всех параметров командной строки (инсталляция этого штамма троянца с ключом –u позволяет излечить систему).

Но даже вышеперечисленные обстоятельства не смогут снять потенциальную опасность этого вируса. Нужно сразу подчеркнуть, что подвергаться такому заражению могут лишь материнские платы с Award BIOS.

Изначально дроппер этого троянца Trojan.Bioskit.1 осуществляет проверку, позволяющую убедиться в том, запущены ли в операционке процессы некоторых китайских антивирусов. И в случае их наличия троянец мгновенно образует прозрачное диалоговое окно, из которого идет вызов его основной функции. После этого вирус начинает проверять версию операционной системы. И если операционкой оказался Windows 2000 и версии выше (кроме Windows Vista или «семёрки») вирус продолжает внедрение. Затем, троян проверяет положение командной строки, из которой возможен его запуск с разнообразными ключами:

-u – лечение системы (в том числе BIOS и MBR);
-w – заражение системы (включается по умолчанию);
-d – это ключ не задействован (возможно, с очередной «релизной» сборкой эту функцию удалили).

В дропперных ресурсах упаковано несколько файлов:
1. cbrom.exe
2. bios.sys
3. hook.rom
4. flash.dll
5. my.sys

Функционируя дропер автоматически распаковывает и сохраняет «дрова» %windir%system32driversbios.sys на жестком диске. Но если система использует устройство \.MyDeviceDriver, троян начинает сбрасывать в библиотеку на диск %windir%flash.dll. И большая вероятность того, что он постепенно внедряет её в такие системные процессы, как:

— services.exe,
— explorer.exe,
— svchost.exe.

Назначение такой библиотеки заключается в запуске «дров» bios.sys штатными средствами (примером, service control manager) в целях создания службы BIOS. В случае выгрузки в библиотеку данная служба удаляется. При отсутствии устройства \.MyDeviceDriver Bioskit.1 загружается в систему с помощью перезаписывания beep.sys -системного драйвера. И после его запуска начинает возобновляться из предварительно созданной копии. Но существует единственное исключение из общего правила, которое касается ОС Microsoft Windows 7. Именно в этой системе дроппер сгружает на диск всю библиотеку %windir%flash.dll и сам же ее инссталирует.

После чего он в корне диска C сохраняет: my.sys – руткит-драйвер. В случае не запуска драйвера bios.sys или отличия BIOS компьютера от Award, троян приступает к заражению MBR. Затем на диск устанавливается файл %temp%hook.rom, являющийся полноценным расширенным модулем (PCI Expansion ROM). Но на этот этап предусматривает его использование только в качестве контейнера, из которого сгружаются все данные для предстоящей записи на диск. После чего начинают перезаписываться первые 14 секторов жесткого диска (в это число входит и MBR). Оригинал MBR находится в 8-м секторе.

Возвратимся к случаю, в котором драйверу bios.sys удается распознать Award BIOS. Надо отметить, что только наличие данного драйвера определяет эту вредоносную прогу из большого перечня похожих троянцев, которые заражают MBR. Названый драйвер достаточно мал и имеет страшный деструктивный потенциал. В нем реализуются 3 метода:

— распознание Award BIOS (попутно распознать объем его образа и, самое важное, I/O порта, через который возможно программное генерирование System Management Interrupt (SMI) и, тем самым, исполнение кода в режиме SMM);
— запись из файла С:bios.bin образа BIOS;
— сохранение на диске в непосредственном файле С:bios.bin BIOS/
Перезапись микросхемы с BIOS и получение к ней доступа является задачей нетривиальной. Для начала нужно организовать полное взаимодействие материнки с чипстером для открытия доступа к чипу. После этого необходимо распознать сам чип, применяя знакомый для него протокол записи/стирания всех данных.

Читать еще:  Stop 0x0000007b Windows 7 при загрузке

Но автор этой проги последовал легким путем, перелаживая все эти задачи на сам БИОС. И эта работа проводилась ещё в 2007 году: тогда анализируя утилиты Winflash для того ж Award БИОС обнаружили простой способ перепрошития микросхем через сервис, самого BIOS в System Management Mode. Его программный код в SMRAM не распознается операционной системой и выполняется независимо от нее. Назначение такого кода достаточно разнообразно, включая эмуляцию не реализованных возможностей матернки, обработку аппаратных ошибок, сервисные функции и т.д.

Для преобразования самого образа БИОСа, этот троянец использует утилиту cbrom.exe, которую переносит у себя в ресурсах. С помощью этой утилиты Bioskit.1 внедряет в модуль hook.rom свой образ, представляя его как ISA BIOS ROM. После этого троянец перепрошивает BIOS из ранее обновленного файла.

Вследствие следующей загрузки компьютера, в процессе инициализации БИОС будет вызывать все PCI Expansion ROM, учитывая и hook.rom. А зараженный код из данного модуля всё время проверяет поражение MBR и перепоражает её при необходимости. Отметим, что присутствие в системе Award BIOS вовсе не обеспечивает заражение данным штаммом трояна.

Bioskit.1 размещает в MBR свой код, основной задачей которого является инфицирование файлов winlogon.exe (непосредственно в операционных системах Windows XP и Windows 2000) или же wininit.exe (в Windows 7). Для разрешения данной задачи новый Trojan.Bioskit.1 имеет свой собственный парсер NTFS/FAT32. Bioskit.1 подсчитывает все запуски, обновляя их один раз в день. Через пятьдесят дней предусматривается дезактивация зараженного модуля BIOS. Вследствие чего он изменится таким образом, что код вируса перестанет управлять им. Но данная версия трояна не предусматривает такого механизма. Всего Trojan.Bioskit.1 имеет 2-ве версии шелл-кода. Но только одна из них является активной в данный момент. Возможно, позже будут задействованы все две версии.

Но не стоит недооценивать реальную опасность подобного рода угроз. Особенно учитывая то, что в будущем вполне возможно появлении гораздо совершенных модификаций этой троянской программы или же вирусов, которые будут действовать по схожему алгоритму.

Установить антивирус в Киеве можно в нашем сервисном центре. Это убережёт вас от всех внешних угроз.

Вирус в биосе симптомы как лечить. Пробуем удалить вирус антивирусной утилитой

Читайте также

Сегодня словить на компьютере вирус ничего не стоит. Достаточно зайти на сомнительный сайт или открыть неизвестный файл – и готово. Сейчас их очень много, но одним из самых коварных вирусов является баннер-вымогатель. В первую очередь потому, что он практически полностью блокирует работу ПК. Поэтому без второго компьютера или ноутбука здесь обычно не обойтись.

Итак, исходные данные таковы. Ко мне обратились с просьбой помочь разобраться с ноутбуком. После его перезагрузки вдруг при входе в Windows система начала запрашивать пароль. Хотя его никто не ставил (вчера все включалось без пароля). Пользователь перепробовал все свои пароли, но они, разумеется, не подошли.

Собственно, эта информация мне мало о чем говорила – думал, придется обходить пароль. Перебирать какие-то комбинации было бесполезно, поэтому я ничего не вводил и просто нажал Enter. И тут – вуаля, система загрузилась. Ура, проблема решена? Вовсе нет – дальше было еще лучше.

Вы заблокированы, платите штраф!

После включения ноутбука на рабочем столе появился огромный баннер на весь экран. Он гласил о том, что система Windows заблокирована за просмотр «интересных фильмов» и все такое.

Честно говоря, я иногда понимаю родителей. Когда читаешь такой баннер на ноутбуке своего ребенка и видишь причину блокировки, в голове сразу появляется мысль «ах ты проказник такой-сякой». И руки сами тянутся к ремню. Наверное, поэтому дети боятся об этом сообщить и делают совершено ненужные вещи – например, платят штраф злоумышленнику.

Итак, по баннеру сразу становится понятно, что это вирус. Собственно, нужно лишь его найти и удалить. Но тут есть одна проблема: баннер блокирует работу системы, и на рабочем столе ничего сделать не получится.

В первую очередь нужно попробовать . Если вирус не даст вам это сделать, тогда остается единственный вариант – лечение антивирусной утилитой с флешки, запущенной через BIOS.

Пробуем удалить вирус антивирусной утилитой

Итак, чтобы избавиться от вируса, необходимо записать на флешку любую антивирусную утилиту Live CD. Это может быть Dr. Web, Avast, Kaspersky – что угодно.

Поскольку зараженный ноутбук заблокирован, то, тут вам понадобится другой ПК. С его помощью получится найти эту утилиту и записать ее на флешку. Хорошо, что сегодня почти в каждом доме есть по 2-3 компьютера/ноутбука 🙂

Флешка обязательно должна быть загрузочной. Т.е. ее надо записывать с помощью специальной программы. Например, вы можете .

Если сделаете все правильно, вместо Windows запустится антивирусная утилита. Далее вам лишь надо запустить проверку на вирусы и дождаться ее окончания.

В моем случае проверка шла более часа. Или больше. Потом мне надоело ждать. Да и печальный вид человека, переживающего за свой ноутбук и данные на нем, подсказывал, что надо что-то менять. В итоге я отменил эту злосчастную проверку и решил поискать другой способ.

Удаляем баннер с помощью AntiSMS

Существует одна отличная утилита AntiSMS. Прекрасно подходит для неопытных пользователей, которые первый раз столкнулись с подобной проблемой.

Ее плюс в том, что она не проверяет всю систему на вирусы, а сразу удаляет этот надоедливый баннер. От него можно избавиться вручную, но для этого надо знать как. Утилита AntiSMS выполняет все эти действия автоматически. В итоге баннер вымогатель удаляется буквально за 10 минут.

Опять же: вам нужно записать утилиту на загрузочную флешку, загрузиться через BIOS и запустить ее. Затем подождите пару минут, пока не увидите сообщение, что вирус успешно удален. Перезагрузите ПК или ноутбук – он должен включиться, и баннера уже не будет. Собственно, в моем случае проблема была решена как раз с помощью AntiSMS.

Утилита бесплатная, и ее можно найти на официальном сайте. Плюс сейчас уже появилась новая программа от тех же разработчиков – SmartFix.

Читать еще:  0x0000006b Windows 7 при загрузке

Вот таким образом получилось разблокировать компьютер от вируса. Кстати, со слов пользователя эта зараза, скорее всего, подцепилась на сайте рефератов. Вылезли рекламные баннеры: при попытке их закрыть система зависла, далее последовала перезагрузка – и вуаля, при входе в Windows уже запрашивает пароль. А дальше, как оказалось, нас ждал вирус с грозным сообщением заплатить штраф за разблокировку ПК.

Разумеется, платить никому не надо – баннер от этого не исчезнет. Единственная польза будет только злоумышленнику: он поймет, что такой способ «заработка» действует и будет дальше распространять свои вирусы на всевозможных сайтах.

В первых числах сентября в руки экспертов вирусной лаборатории компании «Доктор Веб» попал примечательный экземпляр вредоносной программы, получившей название Trojan.Bioskit.1 . В целом это стандартный по функционалу троянец, заражающий MBR (загрузочную область диска) и пытающийся скачать что-то из сети. После проведенного специалистами «Доктор Веб» исследования оказалось, что в него также заложены механизмы, позволяющие заразить BIOS материнской платы компьютера.

Чем больше деталей функционирования этой вредоносной программы вскрывалось в процессе исследования, тем больше мы укреплялись во мнении, что это скорее экспериментальная разработка, нежели полноценная вредоносная программа, — либо она «утекла» раньше, чем этого хотелось бы автору. Об этом, в частности, могут свидетельствовать следующие факты:

  • наличие проверки параметров командной строки (запуск данного экземпляра троянца с ключом -u излечивает систему);
  • использование сторонних утилит;
  • отключенный код дезактивации вируса через 50 дней;
  • присутствие двух разных вариантов заражения системных файлов (из которых используется только один);
  • ошибки в коде, выглядящие, как описки.

Но все эти обстоятельства нисколько не умаляют потенциальной опасности данного троянца. Сразу оговоримся, что заражению могут подвергнуться только материнские платы, оборудованные BIOS производства компании Award.

Первоначально дроппер троянца Trojan.Bioskit.1 проверяет, запущены ли в операционной системе процессы нескольких китайских антивирусов: если таковые обнаруживаются, то троянец создает прозрачное диалоговое окно, из которого осуществляется вызов его главной функции. Затем Trojan.Bioskit.1 определяет версию операционной системы и в случае, если это Windows 2000 и выше (за исключением Windows Vista), продолжает заражение. Троянец проверяет состояние командной строки, из которой он может быть запущен с различными ключами:

  • -d — данный ключ не функционирует (вероятно, в «релизной сборке» эта функция была удалена);
  • -w — заразить систему (используется по умолчанию);
  • -u — вылечить систему (включая MBR и BIOS ).

В ресурсах дроппера упаковано несколько файлов:

В процессе своей работы дроппер распаковывает и сохраняет на жестком диске драйвер %windir%system32driversbios.sys . В случае если в системе есть устройство \.MyDeviceDriver (в исследуемом дроппере драйвера, реализующего такое устройство, нет), троянец сбрасывает на диск библиотеку %windir%flash.dll и, вероятнее всего, последовательно пытается внедрить ее в системные процессы services.exe , svchost.exe и explorer.exe . Назначение данной библиотеки — запуск драйвера bios.sys штатными средствами (service control manager ) с целью создания службы bios . При выгрузке библиотеки эта служба удаляется. В случае отсутствия устройства \.MyDeviceDriver троянец инсталлируется в систему путем перезаписывания системного драйвера beep.sys. После запуска beep.sys восстанавливается из предварительно созданной копии. Единственное исключение из этого правила сделано для ОС Microsoft Windows 7: в данной системе дроппер сбрасывает на диск библиотеку %windir%flash.dll и сам же ее загружает.

Затем дроппер сохраняет в корне диска C: руткит-драйвер my.sys . Если драйвер bios.sys так и не удалось запустить или BIOS компьютера отличается от Award , троянец переходит к заражению MBR . На диск сбрасывается файл %temp%hook.rom , который является полноценным модулем расширения (PCI Expansion ROM ). Но на данном этапе он используется всего лишь как контейнер, из которого извлекаются данные для последующей записи на диск. После этого перезаписываются первые 14 секторов жесткого диска, включая MBR . Оригинальный MBR сохраняется в восьмом секторе.

Драйвер my.sys

По сегодняшним меркам это достаточно примитивный драйвер: он перехватывает у системного драйвера disk.sys обработчики IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_DEVICE_CONTROL , при этом:

  • IRP_MJ_READ возвращает нули вместо первых 63 секторов винчестера;
  • IRP_MJ_WRITE не позволяет осуществлять запись в первые 63 сектора. При этом вирус пытается разрешить своему дропперу перезаписать MBR и прочие секторы, но из-за явной ошибки в коде уловка не срабатывает. Таким образом, автор троянца разрешает перезаписывать 0x14 (20) секторов, а дроппер пишет только 0xE (14);
  • IRP_MJ_DEVICE_CONTROL возвращает STATUS_UNSUCCESSFUL в ответ на запросы IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX и IOCTL_DISK_GET_DRIVE_GEOMETRY_EX .

Заражение BIOS

Но вернемся к случаю, когда драйверу bios.sys удается опознать Award BIOS . Надо сказать, что именно наличие этого драйвера выделяет данную вредоносную программу из большого списка подобных троянцев, заражающих MBR .

Упомянутый драйвер очень мал и обладает пугающим деструктивным потенциалом. В нем реализовано три метода:

  • Опознать Award BIOS (попутно определить размер его образа и, самое главное, I/O порта, через который можно программно заставить сгенерировать SMI (System Management Interrupt ) и таким образом исполнить код в режиме SMM );
  • Сохранить образ BIOS на диск в файл С:bios.bin ;
  • Записать образ BIOS из файла С:bios.bin .

Получить доступ и тем более перезаписать микросхему с BIOS — задача нетривиальная. Для этого сначала необходимо организовать взаимодействие с чипсетом материнской платы для разрешения доступа к чипу, затем нужно опознать сам чип и применить знакомый для него протокол стирания/записи данных. Но автор этой вредоносной программы пошел более легким путем, переложив все эти задачи на сам BIOS . Он воспользовался результатами работы китайского исследователя, известного под ником Icelord . Работа была проделана еще в 2007 году: тогда при анализе утилиты Winflash для Award BIOS был обнаружен простой способ перепрошивки микросхемы через сервис, предоставляемый самим BIOS в SMM (System Management Mode ). Программный код SMM в SMRAM не виден операционной системе (если BIOS корректно написан, то доступ к этой памяти им заблокирован) и исполняется независимо от нее. Назначение данного кода весьма разнообразно: это эмуляция не реализованных аппаратно возможностей материнской платы, обработка аппаратных ошибок, управление режимами питания, сервисные функции и т.д.

Ссылка на основную публикацию
Adblock
detector