В начале сентября в руки экспертов вирусной лаборатории компании
«Доктор Веб» попал примечательный экземпляр вредоносной программы,
получившей название Trojan.Bioskit.1. Кроме всего прочего, в него
заложены механизмы, позволяющие заразить BIOS материнской платы
компьютера, если он произведен компанией Award Software.
Первоначально дроппер троянца Trojan.Bioskit.1 проверяет, запущены ли
в операционной системе процессы нескольких китайских антивирусов. Если
таковые обнаруживаются, то вредоносная программа создает прозрачное
диалоговое окно, из которого осуществляется вызов ее главной функции.
Затем Trojan.Bioskit.1определяет версию операционной системы и, если ею
оказывается ОС Windows 2000 или выше (за исключением Windows Vista),
продолжает заражение.
В случае если BIOS компьютера отличается от Award, троянец заражает Master Boot Record, перезаписывая первые 14 секторов жесткого диска, включая MBR. Оригинальный MBR сохраняется в 8 секторе. Если же троянцу удается опознатьAward BIOS,
в дело вступает упакованный в ресурсах дроппера драйвер bios.sys,
обладающий пугающим деструктивным функционалом. В нем реализовано три
метода:
- Опознать Award BIOS (попутно определить размер его образа и, самое главное, I/O порта, через который можно программно заставить сгенерироватьSMI (System Management Interrupt) и таким образом исполнить код в режиме SMM).
- Сохранить образ BIOS на диск в файл c:\bios.bin.
- Записать образ BIOS из файла c:\bios.bin.
Получить доступ и тем более перезаписать микросхему с BIOS —
задача нетривиальная. Для этого сначала необходимо организовать
взаимодействие с чипсетом материнской платы для разрешения доступа к
чипу, затем нужно опознать сам чип и применить знакомый для него
протокол стирания/записи данных. Но автор этой вредоносной программы
пошел более легким путем, переложив все эти задачи на сам BIOS. Он воспользовался результатами работы китайского исследователя, известного под ником Icelord, проделанной еще в 2007 году. Тогда при анализе утилиты Winflash для Award BIOS был обнаружен простой способ перепрошивки микросхемы через сервис, предоставляемый самим BIOS в SMM(System Management Mode). Программный код SMM в SMRAM не виден операционной системе (если BIOS корректно
написан, то доступ к этой памяти им заблокирован) и исполняется
независимо от нее. Назначение данного кода весьма разнообразно: эмуляция
не реализованных аппаратно возможностей материнской платы, обработка
аппаратных ошибок, управление режимами питания, сервисные функции и т.д.
Для модификации самого образа BIOS данная вредоносная программа использует утилиту cbrom.exe (от Phoenix Technologies), которую, как и все прочие файлы, она несет у себя в ресурсах. При помощи этой утилиты троянец внедряет в образ свой модуль hook.rom в качестве ISA BIOS ROM. Затем Trojan.Bioskit.1 отдает своему драйверу команду перепрошить BIOS из обновленного файла.
При следующей перезагрузке компьютера в процессе инициализации BIOS будет вызывать все имеющиеся PCI Expansion ROM, в том числе и hook.rom. Вредоносный код из этого модуля каждый раз проверяет зараженность MBR и перезаражает ее в случае необходимости. Следует отметить, что наличие в системе Award BIOS вовсе
не гарантирует возможность заражения данным троянцем. Так, из трех
проверенных в вирусной лаборатории материнских плат заразить удалось
только одну, а в двух других в памяти BIOS банально не хватило места для записи нового модуля.
Нельзя недооценивать опасность подобного рода угроз, особенно с
учетом того, что в будущем возможно появление более совершенных
модификаций данной троянской программы, либо вирусов, действующих по
схожему алгоритму. В настоящий момент в антивирусное ПО Dr.Web добавлено
детектирование и лечение MBR, системных файлов и файловых компонентов
вируса.
|
