Новый вирус заражает BIOS компьютера

[den_prox]

Эксперты компании «Доктор Веб» сообщают о новом вирусе, получившем название Trojan.Bioskit.1. Данная вредоносная программа поражает MBR (загрузочную область диска) и производит попытку загрузки из сети дополнительного кода. После проведенного специалистами исследования оказалось, что в него также заложены механизмы, позволяющие заразить BIOS материнской платы компьютера.

 

Чем больше деталей функционирования этой вредоносной программы вскрывалось в процессе исследования, тем больше мы укреплялись во мнении, что это скорее экспериментальная разработка, нежели полноценная вредоносная программа, — либо она «утекла» раньше, чем этого хотелось бы автору. Об этом, в частности, могут свидетельствовать следующие факты:

наличие проверки параметров командной строки (запуск данного экземпляра троянца с ключом -u излечивает систему);

использование сторонних утилит;

отключенный код дезактивации вируса через 50 дней;

присутствие двух разных вариантов заражения системных файлов (из которых используется только один);

ошибки в коде, выглядящие, как описки.

 

Но все эти обстоятельства нисколько не умаляют потенциальной опасности данного троянца. Сразу оговоримся, что заражению могут подвергнуться только материнские платы, оборудованные BIOS производства компании Award.

 

Заражение

Первоначально дроппер троянца Trojan.Bioskit.1 проверяет, запущены ли в операционной системе процессы нескольких китайских антивирусов: если таковые обнаруживаются, то троянец создает прозрачное диалоговое окно, из которого осуществляется вызов его главной функции. Затем Trojan.Bioskit.1 определяет версию операционной системы и в случае, если это Windows 2000 и выше (за исключением Windows Vista), продолжает заражение. Троянец проверяет состояние командной строки, из которой он может быть запущен с различными ключами:

-d — данный ключ не функционирует (вероятно, в «релизной сборке» эта функция была удалена);

-w — заразить систему (используется по умолчанию);

-u — вылечить систему (включая MBR и BIOS).

 

В ресурсах дроппера упаковано несколько файлов:

cbrom.exe

hook.rom

my.sys

flash.dll

bios.sys

 

В процессе своей работы дроппер распаковывает и сохраняет на жестком диске драйвер %windir%\system32\drivers\bios.sys. В случае если в системе есть устройство \\.\MyDeviceDriver (в исследуемом дроппере драйвера, реализующего такое устройство, нет), троянец сбрасывает на диск библиотеку %windir%\flash.dll и, вероятнее всего, последовательно пытается внедрить ее в системные процессы services.exe, svchost.exe и explorer.exe. Назначение данной библиотеки — запуск драйвера bios.sys штатными средствами (service control manager) с целью создания службы bios. При выгрузке библиотеки эта служба удаляется. В случае отсутствия устройства \\.\MyDeviceDriver троянец инсталлируется в систему путем перезаписывания системного драйвера beep.sys. После запуска beep.sys восстанавливается из предварительно созданной копии. Единственное исключение из этого правила сделано для ОС Microsoft Windows 7: в данной системе дроппер сбрасывает на диск библиотеку %windir%\flash.dll и сам же ее загружает.

 

Затем дроппер сохраняет в корне диска C: руткит-драйвер my.sys. Если драйвер bios.sys так и не удалось запустить или BIOS компьютера отличается от Award, троянец переходит к заражению MBR. На диск сбрасывается файл %temp%\hook.rom, который является полноценным модулем расширения (PCI Expansion ROM). Но на данном этапе он используется всего лишь как контейнер, из которого извлекаются данные для последующей записи на диск. После этого перезаписываются первые 14 секторов жесткого диска, включая MBR. Оригинальный MBR сохраняется в восьмом секторе.