Идентифицирован первый вирус для BIOS

27-01-2012
Уже несколько антивирусных компаний сообщили об идентификации первого в истории вируса, способного модифицировать содержимое загрузочной микросхемы BIOS, используемой в большинстве современных компьютеров. Этот вирус, получивший название Trojan.Mebromi по классификации Symantec или Trojan.Bioskit.1 по классификации «Доктор Веб», способен менять не только содержимое BIOS, но и загрузочный сектор жесткого диска, что сильно затрудняет борьбу с этим вирусом. Несмотря на пугающие потенциальные возможности, сравнимые с нашумевшим в 90-е годы прошлого века вирусом CIH/Chernobyl, обнаруженная в «диком виде» версия имеет все черты экспериментальной разработки и на данный момент не считается очень опасной.

Модификация BIOS в вирусе выполняется с целью защитить модифицированные загрузочные секторы жесткого диска. Как выяснилось, на данный момент вирус Mebromi способен заражать только чипы BIOS марки Award, причем в состав вируса входят фирменные утилиты для программной перепрошивки BIOS, созданные компанией Phoenix, которая приобрела фирму Award еще в конце 1990-х годов. Если в ПК используется BIOS других марок, вирус записывает вредоносный код только в загрузочный сектор, защищая этот код за счет заражения таких ключевых системных процессов, как winlogon.exe и winnt.exe. За счет такого глубокого внедрения в систему вирус Mebromi является очень непростым противником для современных антивирусных решений.

По мнению ряда экспертов, Mebromi бросает серьезный вызов всем разработчиков антивирусов, поскольку столь экзотический способ распространения и заражения сильно затрудняет создание средств, способных полностью очистить компьютер от следов вируса. Так, загрузочный MBR-сектор можно восстановить программными средствами без загрузки операционной системы – это уже отработанная технология. С другой стороны, очистка BIOS – это уже гораздо более серьезная задача, в которой обязательно должны участвовать производители материнских плат. Дело в том, что малейшая ошибка в процедуре очистки BIOS может привести к полному выходу системы из строя – система просто перестанет включаться и загружаться, а материнскую плату во многих случаях придется просто выкинуть.

Появление вируса Mebromi считается третьим случаем появления вируса, способного модифицировать BIOS, однако считается первым документированным случаем, когда подобный вирус обнаружен в «диком виде». Тем не менее, стоит обратить внимание, что упомянутый вирус CIH/Chernobyl, работавший в операционных системах Windows 95/98, тоже модифицировал BIOS, но делал это разрушительным образом – при срабатывании «логической бомбы» уничтожалась информация на жестких дисках и содержимое перезаписываемой части BIOS. Вирус Mebromi в этом отношении выглядит «гуманнее» - он лишь использует модификацию BIOS, чтобы скрыть части своего кода в MBR-секторе от антивирусного сканирования. Также стоит упомянуть, что в 2007 году был опубликован экспериментальный вариант вируса IceLord, который теоретически мог менять содержимое BIOS, но никогда не встречался в реальных атаках, то есть в «диком виде».

Примечательно, что первые случаи обнаружения вируса Mebromi зафиксированы близко к первоисточнику CIH/Chernobyl – в Китае (вирус CIH/Chernobyl был создан тайваньским студентом и нанес наибольший ущерб именно Китаю, за что его автор принес публичные извинения). Первыми документировали появление вируса Mebromi специалисты из китайской антивирусной компании Qihoo 360 – из всех случаев заражения большинство зафиксировано именно в КНР.

По материалам сайтов The Register и блога компании Symantec.

Новости

все
25.07.2012
Главный инспектор аэрокосмического агентства США, НАСА, сообщил о расследовании скандального
24.07.2012
Анонсированы Leica M9 и X1: карманный FF и APS-C с фиксом Для тех, кто не желает таскать с
23.07.2012
Скоро беспроводная сеть позволит посмотреть сквозь стену? Видеть сквозь препятствия –

Дизайны

Разработали структуру сайта, создали сайт, соответствующий всем требованиям заказчика. Создали
Разработали структуру сайта, создали сайт по новым технологиям. Создали индивидуальный и
ООО Транспортная Компания «ТрансРусь» предлагает Вам свои услуги по приемке и