Компьютерный форум
Правила
Вернуться   Компьютерный форум > Компьютерные форумы > Новости
Перезагрузить страницу Обнаружен троян, который прописывается в BIOS
Ответ
 
Опции темы Опции просмотра
  (#1 (permalink)) Старый
TheChemicalBrothers TheChemicalBrothers вне форума
Seller of dead fish
 
Аватар для TheChemicalBrothers
 
Сообщений: 2,578
Сказал(а) спасибо: 51
Поблагодарили 161 раз(а) в 156 сообщениях
Регистрация: 09.08.2011
По умолчанию Обнаружен троян, который прописывается в BIOS - 14.09.2011, 15:43

Обнаружен троян, который прописывается в BIOS
Китайский производитель антивирусов 360 обнаружил вирус, который внедряется в BIOS, где он и остается спрятанным от традиционных программ поиска вирусов. Троян под названием Mebromi сперва проверяет, используется ли на компьютере жертвы Award BIOS. Если да, тогда он применяет инструмент, запускаемый из командной строки,CBROM, чтобы внедрить свои процедуры в BIOS. При следующей загрузке системы BIOS уже добавляет дополнительный код к главной загрузочной записи (MBR) жесткого диска, чтобы инфицировать winlogon.exe и winnt.exe процессы на Windows XP и 2000/2003 перед загрузкой системы.

При следующем запуске Windows вредоносный код скачивает руткит для предотвращения очистки MBR жесткого диска антивирусным сканером. Но даже если жесткий диск будет очищен, вся процедура инфицирования повторится при следующей загрузке BIOS. Mebromi может также уцелеть при смене жесткого диска. Если компьютер не использует Award BIOS, вирус просто инфицирует MBR.

Идея внедрения вируса в BIOS не является новой. В 1999 год вирус CIH пытался манипулировать BIOS своей жертвы, но это имело лишь разрушительные последствия: BIOS перезаписывался и компьютер больше не загружался. В 2009 году исследователи безопасности представили сценарий, в котором руткит закреплялся в BIOS. Но до сих пор ни один из вирусов с внедрением в BIOS не получил широкого распространения, возможно просто из-за слишком большого количества различных материнских плат – и, следовательно, из-за очень большого количества различных способов перепрограммирования BIOS.
Ответить с цитированием
  (#2 (permalink)) Старый
TheChemicalBrothers TheChemicalBrothers вне форума
Seller of dead fish
 
Аватар для TheChemicalBrothers
 
Сообщений: 2,578
Сказал(а) спасибо: 51
Поблагодарили 161 раз(а) в 156 сообщениях
Регистрация: 09.08.2011
По умолчанию 31.07.2012, 08:57

Французская ИБ-компания Toucan System представила на конференции Defcon концепт аппаратного бэкдора Rakshasa, способного подменить собой BIOS компьютера и скомпрометировать операционную систему во время ее загрузки без каких-либо следов на жестком диске компьютера. Rakshasa - это не первый образец вредоносного программного обеспечения, атакующего BIOS компьютера на уровне системной прошивки материнской плат. Однако в отличие от ранее созданных вредоносов, новинка использует ряд новых трюков, затрудняющих ее детектирование и удаление. Rakshasa заменяет собой BIOS на материнской плате и фактически берет на себя системную инициализацию аппаратных компонентов компьютера. Базируется Rakshasa на открытом программном обеспечении и заменяет родную версию BIOS компьютера экзотической комбинацией открытых реализация BIOS Coreboot и SeaBIOS, что позволяет ему работать на различных материнских платах от разных производителей, он также переписывает компоненты iPXE, ответственные за сетевую загрузку компьютера или сервера (располагается в некоторых моделях сетевых карт). Эксперты Toucan System утверждают, что при модификации любой из этих прошивок любые антивирусы, работающие на уровне операционной системы, ничего не заподозрят и вредоносный код избежит обнаружения, при этом, сам вредоносный код без проблем сможет перехватывать данные, слушать целевой трафик и проводить другие операции. За счет использования кодов Coreboot авторы кода даже могут создать модифицированный приветственный экран, чтобы пользователь также ничего не заподозрил при включении компьютера. "При модификации всех этих компонентов современные компьютеры не выдают никаких предупреждений или оповещений со стороны системы, что позволяет Rakshasa совершенно незаметно проникать в систему и подменять почти любые прошивки компонентов. Большинство современных системных прошивок созданы по единому подходу, что позволяет нам писать стандартизированный компонент для всех узлов", - заявили в Toucan System. Многие современные материнские платы имеют два блока хранения BIOS и иных управляющих систем. Rakshasa может заразить один, тогда как во втором сохранится оригинальная версия. Технически, пользователь должен понимать что такое BIOS и как происходит его обновление, чтобы восстановить оригинальный BIOS, поэтому для большинства пользователей заражение Rakshasa фактически означает безвозвратную потерю BIOS. В будущем Toucan System намерена развивать концепцию Rakshasa, чтобы концептуальный код получил возможность удаленного сетевого обновления, работы через HTTPS и FTP.


░▒▓█▀▄▀■■▀▄▀█▓▒░
Ответить с цитированием
  (#3 (permalink)) Старый
Razmes Razmes вне форума
Профессионал
 
Аватар для Razmes
 
Сообщений: 1,342
Сказал(а) спасибо: 23
Поблагодарили 58 раз(а) в 58 сообщениях
Регистрация: 22.01.2011
По умолчанию 31.07.2012, 09:03

вот коз.ы, че придумали. да если так и дальше пойдет то пользователи вздрогнут,заражение биус это серьездно, ну когда не знаеш как лечить такую беду


I5-3570K(4,6),ASRok Z77 Extreme3,8Гб CorsairVENGEANCE(2133MHz),ASUS R9290X,ADATA SSD 60Gb, 1TB,Cooler Master GX650W,TV,Zalman Z11+,zm-mfc1plus и 9700LED,Creative Recon3D Fatal1ty
Ответить с цитированием
  (#4 (permalink)) Старый
Vladdal Vladdal вне форума
Wanderer
 
Аватар для Vladdal
 
Сообщений: 5,562
Сказал(а) спасибо: 90
Поблагодарили 827 раз(а) в 794 сообщениях
Регистрация: 13.03.2011
Адрес: Млечный Путь
По умолчанию 31.07.2012, 09:04

Цитата:
Сообщение от Razmes Посмотреть сообщение
вот коз.ы, че придумали. да если так и дальше пойдет то пользователи вздрогнут,заражение биус это серьездно, ну когда не знаеш как лечить такую беду
Эта идея не нова. Достаточно вспомнить вирус Чернобыль, который не одну тысячу ноутов отправил на свалку.
Ответить с цитированием
  (#5 (permalink)) Старый
TheChemicalBrothers TheChemicalBrothers вне форума
Seller of dead fish
 
Аватар для TheChemicalBrothers
 
Сообщений: 2,578
Сказал(а) спасибо: 51
Поблагодарили 161 раз(а) в 156 сообщениях
Регистрация: 09.08.2011
По умолчанию 31.07.2012, 13:07

Цитата:
Сообщение от Razmes Посмотреть сообщение
ну когда не знаеш как лечить такую беду
на мат плате есть перемычки, меняя расположение каторых активируется защита от перезаписи биоса (сам невидел)


░▒▓█▀▄▀■■▀▄▀█▓▒░
Ответить с цитированием
Ads.
Ads
Ответ

Метки
bios , hack , вирус

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Обнаружен эксплойт скрытого канала сват Любые вопросы от новичков 5 10.03.2012 13:19
Троян маячок 1 владимир 31 Любые вопросы от новичков 0 08.12.2011 22:40
Троян маячок 1 владимир 31 Любые вопросы от новичков 1 19.11.2011 21:46
троян Huller Любые вопросы от новичков 2 03.11.2011 18:01
Обнаружен критический баг X-Cite_Forever MSSQL Server 2 02.12.2010 15:24
Троян h.cmd Inko Компьютерная безопасность 14 02.02.2009 21:58
Троян FireKiller Софт и программы 18 19.09.2008 19:51
При загрузке WINa прописывается предупреждение -" If you want to insta HOMSIK Разное 0 01.07.2008 17:00
Троян? Ann The Spy Компьютерная безопасность 10 16.09.2007 20:09
AntiVirus обнаружен как его спрятать Deos Delphi 11 04.06.2006 11:35
Как написать троян Worm С/С++ 5 03.06.2006 13:48



Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Нardforum.ru - компьютерный форум и программирование, форум программистов