Как сообщает доблестный сайт по борьбе с вирусами Dr.Web - Trojan.Bioskit.1 заражает BIOS компьютера. Господам и товарищам, яростно клеймивших словоблудия статьи о бирусах теперь будет сложнее.
Бирусы, или в девичестве фирусы - это вирус, который живёт в биосе (или может жить, или его часть, в т.ч. загрузочная).
Пяток лет назад появился небольшой опрос по мало кому, видимо, понятной тогда теме. Через некоторое время игры с SMM были закончены, а данная тема закрыта, дабы не выпускать бирус джина из исходников бутылки. После появился упомянутый цикл статей о бирусах.
Не нужно преувеличивать "достижения" (речь о "биосной части") данного представителя "пионеров бирусоподелок", т.к. (судя по доступной информации из открытых источников) его возможности пока минимальны. Использование решения PCIROM+cbrom - это технология биоспатчера самых первых версий, которая примитивна, имеет много ограничений по использованию, но за то максимально понятна и при этом, главное, работает.
С другой стороны, использование процесса прошивки SMI_Flash - имеет "серьёзную заявку на будущее". Если товарищи будут прогрессировать не хуже меня "тогда" (а возможностей у них явно прибавилось за это время), то прогнозы по поводу второй части через годик-другой запросто воплотятся в нечто более серьёзное, чем эта "китайская копия" (во всех смыслах).
Подробности работы, не имея исходников бируса, описывать не берусь, многое указано по ссылке в начале (да и подливать керосинчику в костёр незачем), всё действительно примитивно. Считываем биос, пакуем себя сибиромом в модуль а-ля сетевая карта, добавляем в биос, ищем таблицу прошивки через SMM и... получаем бирус.
В далекие 2005-2006 года, на очередной пьянке у одного знакомого, общающегося с компетентными органами , зашел разговор про бирусы, тогда правда так и было сказано вирус который заражает биос (винчихом там и не пахло), разговор был недолгий, после очередной стопки плавно перешли обсуждать другие проблемы. Так что автору статей поверил с первых слов.
Вопрос хотсвапом будущие вирусы лечить можно? или программатор собирать?
Раньше инет был дорогой, хорошие статьи сайвились, нашел в своих архивах.
30 января, 2006.
Руткиты смогут поражать BIOS на материнских платах
Термин RootKit исторически пришёл из мира Unix, и под этим термином понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор как правило включает в себя разнообразные утилиты для заметания следов вторжения в систему, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные Unix утилиты. RootKit позволяет хакеру закрепиться во взломанной системе и сокрыть следы своей деятельности. На текущий момент руткиты зачастую с легкостью обнаруживаются и удаляются при помощи антивирусных пакетов, однако в будущем, сообщают специалисты из SecurityFocus, все будет гораздо серьезнее.
Джон Хесман, сотрудник Next-Generation Security Software, утверждает, что набор функций для управления питанием, известный как Advanced Configuration and Power Interface (ACPI), содержит собственный интерпретируемый язык высокого уровня, который может использоваться для написания rootkit и хранения ключевых функций нападений в флеш памяти BIOS (Basic Input/Output System).
Джон проверил возможность поднятия привилегия и чтения данных физической памяти, используя специально написанные процедуры, которые заменяли легитимные фунции, хранящиеся во флеш памяти BIOS.
Ранее уже появлялись вирусы, способные изменять флеш память компьютера, однако способность использовать язык программирования высокого уровня, доступный для создания ACPI функций, позволяет значительно упростить написание злонамеренного кода.
Несмотря на потенциальную возможность появления подобных руткитов, в качестве защиты от поражения BIOS системы рекомендуется использовать джамперы, которые предотвращают запись данных во флеш память.
securitylab.ru/news/261707.php.
Зачетный вирус, давно ждал что то подобного, молодцы парни, постарались)))...
Если акция по внедрению сего пройдет на один конкретный день, мой программатор можно будет поменять на кусок золота равный по весу.
Сейчас почти все современные м/с для bios - 8 выв. SPI, которые легко программируются, в том числе на самодельных программаторах, которым копеешная цена, а дорогие адаптеры для 8 выводов вообще не нужны - можно просто припаиваться к DIP-панельке. Это не TSOP40/48, для которых переходники сам скорее не сделаешь.
Вобщем суть такая - в последнее время часто встречаюсь со слётом биосов. НО! Ладно, еслиб дело касалось например асусов, у них это штатная ситуация. Но летят машинки из европы!!! Иногда много раз подряд.
Ситуация происходит так. Отдаётся ноут клиенту, клиент пользуется. Через некоторое время переставляется винда(комп почему-то большинству от инета отключить влом...), после выключения - машина не включается. Так произошло где-то около 70 процентов случаев!
В остальных случаях либо антивирус чего-то кричал перед последним выключением, либо ходили по порнушным сайтам(это правда скорее косвенная догадка, поскольку клиенты не расположены раскрывать свои карты на этот счёт.
Насчёт кроваток tsop48-tsop56 проблем нет, если здесь в россии дорого - не надо делать самим, надо купить в китае!
[лишнее удалено]
maco
По очень настоятельной просьбе трудящихся - ориджин удалён и больше не появится. Гарантировать же отсутствие публикации статей со своей стороны не могу :P
Aleexis
Если вам очень хочется заняться рекламой в данной теме, то я могу выдать предупреждение - это не проблема.
>Если кому интересно могу либо диффы сюда сливать, либо оба биоса до-после.
интересно, лучше биосы до и после
maco
Зрение слабое .. Вам чё ... слабо нормальным шрифтом?
По теме ... всё это фигня! Через какой-то период появятся программно-аппаратные защиты флэшей.
Тем паче .. всё тама имет место.
О чем шум то?
После паренька с Тайваня, появились мычки и защиты программные.
Дык это было ... фиг знает сколько лет назад.
Если у майкросовта есть столько бабла , шоб компенсировать потери пользователей, они будут дуть дальше.
НО ! думаю ихние аналитики уже просчитали потери ... тема будет развиваться як скачок в ТАУ .. типа тама посмотрим .
Не ... защита любого ПЗУ может быть в таком же ПЗУ.;)
КС .. и пипец! Нихто уже никуда не едит!:)
Давая некой утилите доступ к прошивке флеши мы тем самым возвращаемся туда откуда начали, я уже некоторое время ломаю голову над такой защитой и что-то пока кроме физической защиты типа перемычки ничего в голову не идёт.
И твоя голова всегда в ответе за то куда сядет твой зад...
Желающие могут пользоваться методом copy-paste (в окно ответа).
Это еще что... Intel делает RISC-ядро в CISC-оболочке - а у неё флешка с микрокодом работы УУ(устройства управления) ответственного за трансляцию команд х86 в простые RISC-команды
Я уже не говорю что ВидеоБИОС - тоже флешка, но на видеокарте...
Хорошо, что хоть на винтах, чтобы перешить их надо подключать к RS232
Нда, забыли посчитать еще флешки некоторых контроллеров на матплате и платах расширения. И планов громадье .
Batman68 (гость) писал(-а): Наивность. Основной интерфейс для некоторых HDD отлично задействуется для смены firmware HDD.
Отправить комментарий