Новый вирус-троян заражает BIOS компьютера

Эксперты вирусной лаборатории компании «Доктор Веб» зафиксировали новый вирус, способный, помимо всего прочего, произвести заражение BIOS компьютера-жертвы. Троянец, получивший название Trojan.Bioskit.1, имеет вполне стандартную функциональность — он заражает MBR (загрузочную область диска) и пытается скачивать что-то из сети. Однако, у него есть одна особенность, выделяющая новый вирус на фоне собратьев. В процессе проникновения в систему вирус извлекает из своего тела драйвер bios.sys, который пытается распознать версию BIOS, используемого материнской платой. В случае обнаружения Award BIOS троянец пробует сгенерировать SMI (System Management Interrupt) и таким образом исполнить код в режиме SMM (этот программный код не виден операционной системе и исполняется независимо от неё; назначение данного кода весьма разнообразно: это эмуляция не реализованных аппаратно возможностей материнской платы, обработка аппаратных ошибок, управление режимами питания, сервисные функции и т.д.; если BIOS корректно написан, то доступ к этой памяти им заблокирован). Если это действие удалось, вирус «сливает» образ BIOS на диск в файл С:\bios.bin, а затем вносит в него изменения (для модификации образа используется утилита cbrom.exe от Phoenix Technologies, которую вирус хранит в своих ресурсах), внедряя в BIOS свой модуль hook.rom в качестве ISA BIOS ROM. Наконец, Trojan.Bioskit.1 перепрошивает BIOS, загружая в него «подправленный» образ.
Таким образом, при следующей загрузке компьютера загружается заражённый BIOS, который вызывает все имеющиеся PCI Expansion ROM, в том числе и hook.rom. Вредоносный код из этого модуля каждый раз проверяет заражённость MBR и перезаражает её в случае необходимости. Таким образом, полное лечение вируса становится фактически невозможным (без прошивки BIOS оригинальным образом от производителя материнской платы).
Специалисты отмечают, что особенности архитектуры вируса Trojan.Bioskit.1 позволяют ему заражать далеко не все виды Award BIOS. Для успешного заражения BIOS должен поддерживать технологию SMM, его защита от перепрошивки должна быть выключена, а размер ROM (постоянной памяти, в которой хранится код BIOS) должен быть достаточным для загрузки в него образа BIOS с «довесками» от вируса. Тем не менее, новый вирус являет собой реальную угрозу, поскольку вполне вероятно появление его новых модификаций, более совершенных с точки зрения своих деструктивных возможностей.


Рекомендуем почитать: