Пожалуйста подождите

Вирус поражает BIOS.

26 марта 22:41
Рейтинг +0-1,09 - +    Эмоции
комментариев: 27

Ну вот и я столкнулся с вирусом ломающий BIOS. (В теории он должен внедрить в BIOS свой код и управлять вашим PC уже на этом уровне).

Как много ходило в сети слухов, догадок и сказок насчёт вирусов перепрошивающих любой BIOS. 90% комментариев к подобной записи были крайне скептическими. Я и сам понимал, возможность прошить BIOS из под системы возможна, но наверняка для этого нужен физический доступ (т.е. на мат.плате переставить перемычку-джампер на нужное место). Искать подтверждения своих догадок я не стал, как собственно и сейчас  И вот замечаю левые процессы, ключи в реестре на автозагрузку... Удаляю, перезагружаю с принуждёнки кнопкой "RESET", и вижу:

Перезагружаю ещё раз... Такая же фигня, вырубаю с сети на пару сек (Аналог вытаскивания батарейки, аккумулятор сдох). Запускается через раз. Захожу в BIOS, параметр "BIOS Update" ставлю на "Disable", из под системы качаю официальную утилиту для обновления биоса. Сливаю текущею версию биоса и заливаю её же. Биос обновляется без проблем (не смотря на BIOS Update Disable). защиты нет 

Качаю последнею версию биоса для своей мамки, ставлю. Возникает ошибка на 1%... Поняв что нужно срочно заливать ту прошивку, которая уже работала и перепрошивалась тем флешером. Запускаю, а фиг... вообще 0% ошибка. В итоге получаю 100% запуска с BIOS ROM checksum error


Решение: Воскрешаю флопик и нахожу дискету 3.5.

На другом PC, создаю загрузочный диск на дискете 3.5, заливаю туда же флешер и прошивку биоса. Перепрошиваю, всё работает 


Цитата одной новости:

 Двое специалистов по компьютерной безопасности продемонстрировали широкой аудитории метод помещения вредоносного кода в BIOS!
После заражения машина становится полностью подконтрольной злоумышленнику. Самое интересное то, что никакое удаление данных не поможет вылечить машину, даже после перепрошивки BIOS, она остается зараженной! Что еще интересно: заражение было проведено как из-под Windows так и из-под openBSD и даже на виртульной машине VMware с openBSD.




комментарии

К первому непрочитанному 
  • побряцал оружием
    26 марта 2011 | 23:29 (ссылка #1655124)
    +1,56 - + Сообщить модератору
    Born To Frag
    где взял? дай посмотреть !
    Нравится: ,
  • 27 марта 2011 | 00:12 (ссылка #1655155)
    -0,71 - + Сообщить модератору
    av AirKite

    Не понятно где и не понятно сколько оно сидело, а может именно в тот момент и попался. Но к сожалению за руку не поймал. Есть лишь прямое доказательство возможности выполнения подобного, с помощью BIOS Patcher.

    Нравится:
  • 26 марта 2011 | 23:34 (ссылка #1655127)
    +1,56 - + Сообщить модератору
    Герой.
    Нравится: ,
  • 27 марта 2011 | 00:18 (ссылка #1655158)
    -0,62 - + Сообщить модератору
    av AirKite
    Что такое birus?
     Birus – сокращение от BIOS-virus (согласно голосования это слово было выбрано для термина "Вирус в BIOS-е" или "BIOS-ный вирус") - вирус, который располагается в микросхеме Flash/EEPROM. Т.е. принципиальным отличием его есть тот факт, что он находится в постоянной памяти компьютера и удалить его без перешивки (обновления прошивки BIOS) нельзя. В дополнение ещё и то, что и обнаружить его тоже крайне сложно вплоть до вообще невозможно. В остальном (зловредные действия) бирусы ни чем не отличаются от различных вирусных программ типа троянов сотоварищи.

    Как работает birus?
    Получив управление, бирус внедряется в BIOS (например, считав текущую прошивку и добавив в неё свой код) и перезагружает компьютер (либо пассивно ждёт, пока сам пользователь её осуществит). После очередной загрузки зловредный код становится совершенно невидим для любой работающей в операционной системе программы. Кроме того его код получает возможность одинаково работать в любой операционной системе – Windows, Linux, MAC OS и т.д.

    Что может бирус?
    1) Он может заразить (получить управление и/или выполнить другие зловредные действия) любое приложение для любой операционной системы.
    2) Он может быть совершенно невидим - запретив возможность своего обнаружения.
    3) Он может быть совершенно неудаляем – запретив возможность обновления BIOS.
    4) Он может осуществлять зловредные действия в любое время и абсолютно прозрачно (т.е. его процесс активности нельзя заметить и остановить) в процессе работы компьютера.
    5) Он имеет доступ ко всем устройствам компьютера, обладая всеми возможностями ОС и даже больше.

    Можно ли защититься от заражения бирусом?
    Можно. Но сначала перечислим, что ему не помешает:
    Установки любых паролей в BIOS никак не защитит от бируса.
    Прошивка нового BIOS «на самом компьютере» - может не помочь избавиться от бируса. Это верно для перешивки как под DOS, так и под Windows (или другой OS).
    Реально защититься от бируса можно лишь на старых компьютерах, у которых есть перемычка для защиты BIOS от перешивки. Обычно это компьютеры Pentium II и старше.
    Источник: Part1, Part2, Part3
    Нравится: ,
  • 27 марта 2011 | 00:29 (ссылка #1655163)
    0 - + Сообщить модератору
    не, блин, я конечно не так много работаю с компами, но КАК, КАК можно такое выцепить?
  • 27 марта 2011 | 00:34 (ссылка #1655166)
    +2,09 - + Сообщить модератору
    av AirKite
    Ты имеешь ввиду обнаружение или заражение? Обнаружить в принципе не возможно, заражение с любого файла... тот же дистрибутив QIP или драйвер на видео\аудио с официального сайта. Более того, заражённый биос прошивка могла стоять сразу, когда вы покупали компьютер.
    Нравится:
  • Пост утонул под мостом. Показать
  • 27 марта 2011 | 03:56 (ссылка #1655221)
    +2,09 - + Сообщить модератору
    av AirKite
    Ну що же ты байаны постищь?! Этой утке года два уже!

    Лет как 15 уже известно об этом. Сейчас это затронуло меня, я поднял тему. К тому же я начинал о конкретном случае а не о бирусах конкретно. Хотя тема актуальна и по сей день.


    Не получится ничего с тройаном под BIOS.

    Во-перьвых
    Народу мало, музыка не очень?


    Во-перьвых, тройан должен быть заточен под определенное жалезо и матерь
    Утилита BIOS Patcher, патчит BIOS под 80% железа. Почему у бируса должно быть меньше? Даже этих 80% вполне достаточно.


    Во-вторых, при любой переустановке системы, пусковая часть вируса исчезнет

    При перестановке системы не каким боком BIOS часть не затрагивается. Более того BIOS может заблокировать обновления себя. А это значит что даже при попытке обновить BIOS нечего не выйдет 




    Нравится:
  • Пост утонул под мостом. Показать
  • 27 марта 2011 | 12:19 (ссылка #1655281)
    +2,09 - + Сообщить модератору
    av AirKite

    Услышал звон да не знает где он... Что ты этим всем бредом хотел сказать?

    В шашнадцати разрядных системах - да - можно было что-то сделать
    О каких системах идёт речь?


    Это про переустановку системы. При каждом включении бивос перезаписывает часть себя из непрограммируемого источника и чтобы ему по новой активироваться необходимо куда-то кусочек кода записать, а куда?
    Переустановка системы!? Ну обычно операционку переустанавливают, только уже BIOS у тебя перезаписывает там что то при каждом вюкличении. По твоим убеждениям выходит перепрошивать (обновлять версию) BIOS-а на таких мамках нельзя?


    Нравится:
  • 27 марта 2011 | 04:09 (ссылка #1655224)
    +2,09 - + Сообщить модератору
    av AirKite

    Почитай о вирусе "Чернобыль" более 10 летней давности. Который уже был способен убивать не 1 тип железа через BIOS.

    www.securelist.com/ru/descriptions/old19775

    Нравится:
  • Пост утонул под мостом. Показать
  • 27 марта 2011 | 11:11 (ссылка #1655266)
    +6 - + Сообщить модератору
    av AirKite
    Я даже

    Даже? Он изначально был доступен в исходных кодах, не?

    код его видел
    Видеть и понимать разные вещи 

    Нравится: ,
  • 27 марта 2011 | 03:19 (ссылка #1655203)
    0 - + Сообщить модератору
    Более того, заражённый биос прошивка могла стоять сразу, когда вы покупали компьютер.
    ага, продавцы закидывают)

    дай вирь мне этот, я на своей m2n попробую)
  • 27 марта 2011 | 03:47 (ссылка #1655218)
    +2,28 - + Сообщить модератору
    av AirKite
    Я же написал, скачай BIOS Patcher. Считай что это тестовый и безвредный вирус...
    Нравится:
  • 27 марта 2011 | 09:29 (ссылка #1655251)
    +3,92 - + Сообщить модератору
    В начале 2000-х многие материнки страдали тем что биос на них иногда слетал. На гигабайтных материнках даже после того как планки памяти местами поменяешь. И горе-пользователи, боясь что их обвинят в криворукости, выдумали этот бирус.
    Сливаю текущею версию биоса и заливаю её же. Биос обновляется без проблем
    Качаю последнею версию биоса для своей мамки, ставлю. Возникает ошибка на 1%... Поняв что нужно срочно заливать ту прошивку, которая уже работала и перепрошивалась тем флешером. Запускаю, а фиг..
    Нужно было просто переименовать. И всё! Однако...

    Нравится:
  • 27 марта 2011 | 12:02 (ссылка #1655279)
    +2,28 - + Сообщить модератору
    av AirKite
    В начале 2000-х многие материнки страдали тем что биос на них иногда слетал. На гигабайтных материнках даже после того как планки памяти местами поменяешь. И горе-пользователи, боясь что их обвинят в криворукости, выдумали этот бирус.

    А как же живой пример? Доказано о технической возможности этого... Вирусописщики такие честные не используют данную техническую возможность? 


    Нужно было просто переименовать. И всё! Однако...

    Кого переименовать то?   Прошивать биос не есть копировать файл куда либо! Однако... 

    Нравится:
  • 27 марта 2011 | 12:55 (ссылка #1655290)
    +1,57 - + Сообщить модератору
    Ну файл с прошивкой переименуй в bios.bin к примеру и команду, соответственно, примерно так: awdflash bios.bin /cd/cp/py/sn/f/r
    Нравится:
  • 27 марта 2011 | 18:03 (ссылка #1655407)
    +2,29 - + Сообщить модератору
    av AirKite
    Откуда уверенность что проблема в имени файла прошивки? Нечего что файлов несколько и есть варианты обновления на прямую, без сохранения файла на жестком диске? 
    Нравится:
  • 27 марта 2011 | 18:34 (ссылка #1655424)
    +3,94 - + Сообщить модератору
    Откуда уверенность что проблема в имени файла прошивки? Нечего что файлов несколько и есть варианты обновления на прямую, без сохранения файла на жестком диске
    я вообще-то про ту проблему что ты описывал. А она была лет десять назад, когда даже элементарной защиты от криворуких обновлятелей не было. Помню, что иногда не нравилось имя файла, переименовывать приходилось. Сейчас у них другое развлечение - обновление прошивки модемов. Кстати, убитых модемов уже немеряно. Глядишь и тут на вирус всё спишут... А ты про что?
    Нравится:
  • 27 марта 2011 | 18:44 (ссылка #1655428)
    +2,29 - + Сообщить модератору
    av AirKite
    А ты про что?

    Перечитай блог. Ты даже не понял о чём речь и уже дал ответ. 
    Нравится:
  • 27 марта 2011 | 18:58 (ссылка #1655431)
    +4,34 - + Сообщить модератору
    Да не, просто я думаю что это обыкновенный сбой а никак не вирус. Да и вирус такой под 95-98 винду в зоопарке найти только можно.
    Нравится: ,
  • попрощался, подумал, вернулся и написал
    27 марта 2011 | 13:49 (ссылка #1655297)
    0 - + Сообщить модератору

    А что, подобное зверье антивирусами-файрволми не палится при заражении? 

    AirKite - что за защита стоит на машине если не секрет?

  • 27 марта 2011 | 19:00 (ссылка #1655434)
    +3,94 - + Сообщить модератору
    А что, подобное зверье антивирусами-файрволми не палится при заражении? 
    Известные палятся. Неизвестные потом, после препарации в лаборатории Касперского, палиться начнут.
    Нравится:
  • 8 мая 2011 | 01:15 (ссылка #1671195)
    0 - + Сообщить модератору
    Аватара не загружена
    Такая ошибка иногда возникает если битая РАМ, замени или удали неисправную
  • 8 мая 2011 | 01:20 (ссылка #1671198)
    0 - + Сообщить модератору
    Аватара не загружена
    Единственный вирус который СТИРАЛ БИОС WinChih(который активируется в день катастрофы на Чернобыле) давно себя изжил, а новых не было ему подобных
  • Подписаться