Компания Doctor Web сообщила об обнаружении нового экземпляра вредоносной программы, которая получила наименование Trojan.Bioskit.1. В общем, троянец этот идет со стандартными функциональными параметрами, MBR (заражающим загрузочную область диска) и пытающийся загрузить что-либо из сети. После многочисленных исследований, которые провели специалисты компании «Доктор Веб» оказалось, что в нем также присутствуют элементы, помогающие заразить BIOS системной платы компьютера.
Но не все факты до конца аргументированы, так как существует мнения о том, что это не вредоносная программа, а всего лишь эксперементалка. Или же могла произойти утечка из-под носа автора. В частности это связано со следующими фактами:
• Кодовые ошибки, имеющие вид описок;
• Присутствие 2-х различных вариаций заражения файлов системы (из которых только 1 используется);
• Срок отключения кода дезактивации в течение 50-ти дней;
• Загрузка сторонних утилит;
• Присутствие проверки всех параметров командной строки (инсталляция этого штамма троянца с ключом –u позволяет излечить систему).
Но даже вышеперечисленные обстоятельства не смогут снять потенциальную опасность этого вируса. Нужно сразу подчеркнуть, что подвергаться такому заражению могут лишь материнские платы с Award BIOS.
Изначально дроппер этого троянца Trojan.Bioskit.1 осуществляет проверку, позволяющую убедиться в том, запущены ли в операционке процессы некоторых китайских антивирусов. И в случае их наличия троянец мгновенно образует прозрачное диалоговое окно, из которого идет вызов его основной функции. После этого вирус начинает проверять версию операционной системы. И если операционкой оказался Windows 2000 и версии выше (кроме Windows Vista или «семёрки») вирус продолжает внедрение. Затем, троян проверяет положение командной строки, из которой возможен его запуск с разнообразными ключами:
-u – лечение системы (в том числе BIOS и MBR);
-w – заражение системы (включается по умолчанию);
-d – это ключ не задействован (возможно, с очередной «релизной» сборкой эту функцию удалили).
В дропперных ресурсах упаковано несколько файлов:
1. cbrom.exe
2. bios.sys
3. hook.rom
4. flash.dll
5. my.sys
Функционируя дропер автоматически распаковывает и сохраняет «дрова» %windir%\system32\drivers\bios.sys на жестком диске. Но если система использует устройство \\.\MyDeviceDriver, троян начинает сбрасывать в библиотеку на диск %windir%\flash.dll. И большая вероятность того, что он постепенно внедряет её в такие системные процессы, как:
— services.exe,
— explorer.exe,
— svchost.exe.
Назначение такой библиотеки заключается в запуске «дров» bios.sys штатными средствами (примером, service control manager) в целях создания службы BIOS. В случае выгрузки в библиотеку данная служба удаляется. При отсутствии устройства \\.\MyDeviceDriver Bioskit.1 загружается в систему с помощью перезаписывания beep.sys -системного драйвера. И после его запуска начинает возобновляться из предварительно созданной копии. Но существует единственное исключение из общего правила, которое касается ОС Microsoft Windows 7. Именно в этой системе дроппер сгружает на диск всю библиотеку %windir%\flash.dll и сам же ее инссталирует.
После чего он в корне диска C сохраняет: my.sys – руткит-драйвер. В случае не запуска драйвера bios.sys или отличия BIOS компьютера от Award, троян приступает к заражению MBR. Затем на диск устанавливается файл %temp%\hook.rom, являющийся полноценным расширенным модулем (PCI Expansion ROM). Но на этот этап предусматривает его использование только в качестве контейнера, из которого сгружаются все данные для предстоящей записи на диск. После чего начинают перезаписываться первые 14 секторов жесткого диска (в это число входит и MBR). Оригинал MBR находится в 8-м секторе.
Возвратимся к случаю, в котором драйверу bios.sys удается распознать Award BIOS. Надо отметить, что только наличие данного драйвера определяет эту вредоносную прогу из большого перечня похожих троянцев, которые заражают MBR. Названый драйвер достаточно мал и имеет страшный деструктивный потенциал. В нем реализуются 3 метода:
— распознание Award BIOS (попутно распознать объем его образа и, самое важное, I/O порта, через который возможно программное генерирование System Management Interrupt (SMI) и, тем самым, исполнение кода в режиме SMM);
— запись из файла С:\bios.bin образа BIOS;
— сохранение на диске в непосредственном файле С:\bios.bin BIOS/
Перезапись микросхемы с BIOS и получение к ней доступа является задачей нетривиальной. Для начала нужно организовать полное взаимодействие материнки с чипстером для открытия доступа к чипу. После этого необходимо распознать сам чип, применяя знакомый для него протокол записи/стирания всех данных.
Но автор этой проги последовал легким путем, перелаживая все эти задачи на сам БИОС. И эта работа проводилась ещё в 2007 году: тогда анализируя утилиты Winflash для того ж Award БИОС обнаружили простой способ перепрошития микросхем через сервис, самого BIOS в System Management Mode. Его программный код в SMRAM не распознается операционной системой и выполняется независимо от нее. Назначение такого кода достаточно разнообразно, включая эмуляцию не реализованных возможностей матернки, обработку аппаратных ошибок, сервисные функции и т.д.
Для преобразования самого образа БИОСа, этот троянец использует утилиту cbrom.exe, которую переносит у себя в ресурсах. С помощью этой утилиты Bioskit.1 внедряет в модуль hook.rom свой образ, представляя его как ISA BIOS ROM. После этого троянец перепрошивает BIOS из ранее обновленного файла.
Вследствие следующей загрузки компьютера, в процессе инициализации БИОС будет вызывать все PCI Expansion ROM, учитывая и hook.rom. А зараженный код из данного модуля всё время проверяет поражение MBR и перепоражает её при необходимости. Отметим, что присутствие в системе Award BIOS вовсе не обеспечивает заражение данным штаммом трояна.
Bioskit.1 размещает в MBR свой код, основной задачей которого является инфицирование файлов winlogon.exe (непосредственно в операционных системах Windows XP и Windows 2000) или же wininit.exe (в Windows 7). Для разрешения данной задачи новый Trojan.Bioskit.1 имеет свой собственный парсер NTFS/FAT32. Bioskit.1 подсчитывает все запуски, обновляя их один раз в день. Через пятьдесят дней предусматривается дезактивация зараженного модуля BIOS. Вследствие чего он изменится таким образом, что код вируса перестанет управлять им. Но данная версия трояна не предусматривает такого механизма. Всего Trojan.Bioskit.1 имеет 2-ве версии шелл-кода. Но только одна из них является активной в данный момент. Возможно, позже будут задействованы все две версии.
Но не стоит недооценивать реальную опасность подобного рода угроз. Особенно учитывая то, что в будущем вполне возможно появлении гораздо совершенных модификаций этой троянской программы или же вирусов, которые будут действовать по схожему алгоритму.
Установить антивирус в Киеве можно в нашем сервисном центре. Это убережёт вас от всех внешних угроз.
Источник: COMPUTER-SERVICE.KIEV.UA
