Компанія Doctor Web повідомила про виявлення нового екземпляра шкідливої програми, яка отримала найменування Trojan.Bioskit.1. Загалом, троянець цей йде зі стандартними функціональними параметрами, MBR (заражающим завантажувальний область диска) і намагається завантажити що-небудь з мережі. Після численних досліджень, які провели фахівці компанії «Доктор Веб» виявилося, що в ньому також присутні елементи, що допомагають заразити BIOS системної плати комп'ютера.

Але не всі факти до кінця аргументовані, так як існує думки про те, що це не шкідлива програма, а всього лише експеременталка. Або ж могла статися витік з-під носа автора. Зокрема це пов'язано з наступними фактами:

• Кодові помилки, які мають вигляд описок;
• Присутність 2-х різних варіацій зараження файлів системи (з яких тільки 1 використовується);
• Термін відключення коду дезактивації протягом 50-ти днів;
• Завантаження сторонніх утиліт;
• Присутність перевірки всіх параметрів командного рядка (інсталяція цього штаму троянця з ключем -u дозволяє вилікувати систему).

Але навіть перераховані вище обставини не зможуть зняти потенційну небезпеку цього вірусу. Потрібно відразу підкреслити, що піддаватися такому зараженню можуть лише материнські плати з Award BIOS.

Спочатку дроппер цього троянця Trojan.Bioskit.1 здійснює перевірку, що дозволяє переконатися в тому, запущені в операционке процеси деяких китайських антивірусів. І в разі їх наявності троянець миттєво утворює прозоре діалогове вікно, з якого йде виклик його основної функції. Після цього вірус починає перевіряти версію операційної системи. І якщо операционкой виявився Windows 2000 і версії вище (крім Windows Vista або «сімки») вірус продовжує впровадження. Потім, троян перевіряє стан командного рядка, з якої можливий його запуск з різноманітними ключами:

-u - лікування системи (в тому числі BIOS і MBR);
-w - зараження системи (включається за замовчуванням);
-d - це ключ не задіяний (можливо, з черговою «релізной» складанням цю функцію видалили).

У дропперних ресурсах упаковано декілька файлів:
1. cbrom.exe
2. bios.sys
3. hook.rom
4. flash.dll
5. my.sys

Функціонуючи дропер автоматично розпаковує і зберігає «дрова»% windir% \ system32 \ drivers \ bios.sys на жорсткому диску. Але якщо система використовує пристрій \\. \ MyDeviceDriver, троян починає скидати в бібліотеку на диск% windir% \ flash.dll. І велика ймовірність того, що він поступово впроваджує її в такі системні процеси, як:

- services.exe,
- explorer.exe,
- svchost.exe.

Призначення такої бібліотеки полягає в запуску «дров» bios.sys штатними засобами (прикладом, service control manager) з метою створення служби BIOS. У разі вивантаження в бібліотеку дана служба видаляється. При відсутності пристрою \\. \ MyDeviceDriver Bioskit.1 завантажується в систему за допомогою перезапису beep.sys -Системне драйвера. І після його запуску починає відновлюватися з попередньо створеної копії. Але існує єдиний виняток із загального правила, яке стосується ОС Microsoft Windows 7. Саме в цій системі дроппер вивантажує на диск всю бібліотеку% windir% \ flash.dll і сам же її інссталірует.

Після чого він в корені диска C зберігає: my.sys - руткит-драйвер. У разі не запуску драйвера bios.sys або відмінності BIOS комп'ютера від Award, троян приступає до зараження MBR. Потім на диск встановлюється файл% temp% \ hook.rom, що є повноцінним розширеним модулем (PCI Expansion ROM). Але на цей етап передбачає його використання тільки в якості контейнера, з якого вивантажуються всі дані для майбутньої записи на диск. Після чого починають перезаписуватися перші 14 секторів жорсткого диска (в це число входить і MBR). Оригінал MBR знаходиться в 8-му секторі.

Повернемося до випадку, в якому драйверу bios.sys вдається розпізнати Award BIOS. Треба відзначити, що тільки наявність даного драйвера визначає цю шкідливу прогу з великого переліку схожих троянців, які заражають MBR. Названий драйвер досить малий і має страшний деструктивний потенціал. У ньому реалізуються 3 методу:

- розпізнавання Award BIOS (попутно розпізнати обсяг його образу і, найважливіше, I / O порту, через який можливо програмне генерування System Management Interrupt (SMI) і, тим самим, виконання коду в режимі SMM);
- запис з файлу С: \ bios.bin образу BIOS;
- збереження на диску в безпосередньому файлі С: \ bios.bin BIOS /
Перезапис мікросхеми з BIOS і отримання до неї доступу є завданням нетривіальною. Для початку потрібно організувати повну взаємодію материнки з чіпстером для відкриття доступу до чіпу. Після цього необхідно розпізнати сам чіп, застосовуючи знайомий для нього протокол запису / стирання всіх даних.

Але автор цієї проги пішов легким шляхом, перелажівая всі ці завдання на сам БІОС. І ця робота проводилася ще в 2007 році: тоді аналізуючи утиліти Winflash для того ж Award БІОС виявили простий спосіб перепрошитого мікросхем через сервіс, самого BIOS в System Management Mode. Його програмний код в SMRAM не розпізнає операційною системою і виконується незалежно від неї. Призначення такого коду досить різноманітно, включаючи емуляцію не реалізованих можливостей матернкі, обробку апаратних помилок, сервісні функції і т.д.

Для перетворення самого способу БІОС, цей троянець використовує утиліту cbrom.exe, яку переносить у себе в ресурсах. За допомогою цієї утиліти Bioskit.1 впроваджує в модуль hook.rom свій образ, представляючи його як ISA BIOS ROM. Після цього троянець перепрошивати BIOS з раніше оновленого файлу.

Внаслідок наступного завантаження комп'ютера, в процесі ініціалізації БІОС буде викликати все PCI Expansion ROM, враховуючи і hook.rom. А заражений код з даного модуля весь час перевіряє поразку MBR і перепоражает її при необхідності. Відзначимо, що присутність в системі Award BIOS зовсім не забезпечує зараження даним штамом трояна.

Bioskit.1 розміщує в MBR свій код, основним завданням якого є інфікування файлів winlogon.exe (безпосередньо в операційних системах Windows XP і Windows 2000) або ж wininit.exe (в Windows 7). Для вирішення даного завдання новий Trojan.Bioskit.1 має свій власний парсер NTFS / FAT32. Bioskit.1 підраховує всі запуски, оновлюючи їх один раз в день. Через п'ятдесят днів передбачається дезактивація зараженого модуля BIOS. Внаслідок чого він зміниться таким чином, що код вірусу перестане керувати ним. Але дана версія трояна не передбачає такого механізму. Всього Trojan.Bioskit.1 має 2-ве версії шелл-коду. Але тільки одна з них є активною в даний момент. Можливо, пізніше будуть задіяні всі дві версії.

Але не варто недооцінювати реальну небезпеку подібного роду погроз. Особливо з огляду на те, що в майбутньому цілком можливо появу набагато досконаліших модифікацій цієї троянської програми або ж вірусів, які будуть діяти за схожим алгоритмом.

Встановити антивірус в Києві можна в нашому сервісному центрі. Це вбереже вас від усіх зовнішніх загроз.

джерело: COMPUTER-SERVICE.KIEV.UA