Троянец для BIOS: китайская угроза

Несколько месяцев назад из Китая пришло неприятное сообщение: в стране принялся орудовать вирус, заражающий прямиком BIOS. Несмотря на то, что это мог еще печально известный «Чернобыль» (CIH) в прошлом веке, новый вирус с берегов Тяньцзы умеет больше: он не просто заражает системное программное обеспечение, но и обеспечивает злоумышленнику возможность управления вашим компьютером.

BIGITALRU_1

Давайте же посмотрим, как происходит заражение и что в этом случае делать.

Осторожно – инфекция!

Заражение (а инфицированию данным троянцем пока что подвергаются только материнские платы компании Award, но трудолюбивые китайские вирусописатели, думается, на этом не остановятся) происходит по следующей схеме. Сперва программа проверяет, запущены ли в системе антивирусы и определяет версию операционной системы. Если у вас стоит Windows 2000 и выше (за исключением Windows Vista), то дроппер (файл-носитель вируса) продолжает инсталляцию.

В частности, на жестком диске распаковывается и сохраняется драйвер %windir%\system32\drivers\bios.sys. Если в системе обнаруживается устройство \\.\MyDeviceDriver, то на хард добавляется библиотека %windir%\flash.dll, которая пытается внедриться в системные процессы services.exe, svchost.exe и explorer.exe. Нужно это троянцу для запуска драйвера bios.sys и создания службы bios.

Если же устройство \\.\MyDeviceDriver у вас на компьютере отсутствует, китайщина инсталлируется в систему перезаписыванием системного драйвера beep.sys. В Windows 7 схема инсталляции немного другая: здесь дроппер сбрасывает на диск библиотеку %windir%\flash.dll и сам же ее загружает.

После этого троянец сохраняет в корне диска C: руткит-драйвер my.sys. В случае если у вас материнская плата не от Award’а или драйвер bios.sys так и не удалось запустить, то программа переходит к заражению MBR (главной загрузочной записи). Для этого на диск записывается файл %temp%\hook.rom и перезаписываются первые 14 секторов жесткого диска, включая MBR. Оригинальный MBR, впрочем, сохраняется в восьмом секторе.

Драйвер my.sys действует по-рабоче-крестьянски: перехватывает у системного драйвера disk.sys обработчики IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_DEVICE_CONTROL. При этом, по словам специалистов из Doctor Web, происходят следующие вещи:

* IRP_MJ_READ возвращает нули вместо первых 63 секторов винчестера;

* IRP_MJ_WRITE не позволяет осуществлять запись в первые 63 сектора. При этом вирус пытается разрешить своему дропперу перезаписать MBR и прочие секторы, но из-за явной ошибки в коде уловка не срабатывает. Таким образом, автор троянца разрешает перезаписывать 0x14 (20) секторов, а дроппер пишет только 0xE (14);

* IRP_MJ_DEVICE_CONTROL возвращает STATUS_UNSUCCESSFUL в ответ на запросы IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX и IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.

Если же у вас материнка таки от Award’а и вирус это опознал, то при помощи утилиты cbrom.exe от Phoenix Technologies (она содержится в ресурсах самой BIOS) он внедряет в образ свой модуль hook.rom в качестве ISA BIOS ROM, а затем отдает драйверу команду перепрошить BIOS из обновленного файла. Вот, собственно, и все: при следующей перезагрузке компьютера в процессе инициализации BIOS будет вызывать все имеющиеся PCI Expansion ROM, в том числе и зараженный hook.rom. Китайский код из этого модуля каждый раз будет проверять зараженность MBR и перезаражать ее, если вам удалось каким-то образом вылечить главную загрузочную запись. Далее троянец всего лишь размещает в MBR код, чья задача состоит в инфицировании файла winlogon.exe (в операционных системах Windows 2000 и Windows XP) или wininit.exe (Windows 7).

 Спасение утопающих – дело рук…

Поскольку лечение зараженного BIOS – задача непростая даже для гигантов антивирусных лабораторий, посильную помощь при инфицировании вы можете оказать себе сами. Итак, если признаки заражения даже при полном сканировании и излечивании, переустановки системы или форматировании диска остаются, значит, дело, скорее всего, в проклятой китайщине. Разные антивирусы, кстати, детектируют его под разными названиями – какими именно, можно посмотреть здесь (http://www.virustotal.com/file-scan/report.html?id=7936deb5e6a236e8dce91352d0617e3db3bbe0fbaeba5fb08bbeac7590338c4d-1316346063).

Если вы знаете, как запустить троянца с ключом, то сделайте это, прибавив –u (эта функция, излечивающая систему, включая MBR и BIOS, была заложена самим вирусописателем). Если это не помогло (в более поздних «сборках» вируса этот ключ может быть удален), то с незараженного компьютера зайдите на сайт компании, которая выпустила вашу материнскую карту, и скачайте свежую утилиту BIOS Flash. Если с определением марки материнки возникли проблемы, то обратитесь в техническую поддержку производителя.

Затем запишите утилиту на какой-нибудь носитель (лучше на компакт-диск – его не заразить) и выставьте в настройках BIOS, чтобы загрузка шла в первую очередь с DVD-привода. Дальше, собственно, дело техники. Да, не забудьте после перепрошивки обновить драйвера, а лучше – поставьте свежую копию ОС.

Артем Платонов

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>