Новый Trojan.Bioskit.1

Оцените материал
Рейтинг: 0 из 5 - (0 голосов)
Новый Trojan.Bioskit.1

Компанией «Доктор Веб» сообщено об обнаружении вредоносной программы, которая получила название Trojan.Bioskit.1. В принципе это стандартный по функциональности троян, который не только заражает MBR (загрузочная область диска), но и пытается скачать что-либо из сети. По данным проведенного исследования специалистами «Доктор Веб», в этот вирус заложены механизмы, заражающие BIOS материнской платы ПК.

Среди экспертов имеется мнение, что данный вирус - экспериментальная разработка, а не полноценная вредоносная программа.

Однако данные обстоятельства не снижают степень опасности трояна. Стоит отметить, что заражению подвергаются материнские платы, которые оборудованы BIOS от компании Award.

В первую очередь Trojan.Bioskit.1 проверяет, имеются ли в ОС процессы нескольких антивирусов Китая. При обнаружении таковых происходит создание прозрачного диалогового окна, из которого вирус вызывает свои главные функции. После чего Trojan.Bioskit.1 определяет версию ОС ПК и, если это Windows 2000 и выше (кроме Windows Vista), осуществляет заражение ПК. Троян проверяет состояние командной строки, из коей он может быть запущен при использовании различных ключей.

В ресурсах дроппера вирусной программы упаковано несколько файлов:

  • my.sys
  • cbrom.exe
  • bios.sys
  • hook.rom
  • flash.dll

В процессе работы дроппер распаковывает и потом сохраняет на жестком диске ПК драйвер %windir%\system32\drivers\bios.sys. При наличии устройства \\.\MyDeviceDriver, троянская программа сохраняет на диск следующую библиотеку %windir%\flash.dll и постепенно внедряет ее в процессы системы services.exe, svchost.exe, а также explorer.exe. Назначение библиотеки — запуск драйвера bios.sys посредством штатных средств (service control manager) для создания службы bios. После выгрузке библиотеки данная служба удаляется. При отсутствии устройства \\.\MyDeviceDriver троян инсталлируется в систему посредством перезаписи системного драйвера beep.sys. После его запуска, он восстанавливается из заранее созданной копии. Одна исключение для ОС Microsoft Windows 7 заключается в том, что дроппер сбрасывает на диск библиотеку %windir%\flash.dll, а потом сам ее и загружает.

Далее дроппер сохраняет в корне C: руткит-драйвер my.sys. Если же драйвер bios.sys так и не удалось запустить или BIOS ПК отличается от Award, то троян переходит к заражению MBR. На диск скидывается файл %temp%\hook.rom, являющийся полноценным модулем расширения. На данном этапе он применяется как контейнер, из коего извлекаются данные для записи на диск. После этого осуществляется перезапись первых 14 секторов жесткого диска, MBR в том числе. Оригинальный MBR хранится в 8м секторе.

Задача очень простая не только получить доступ, но и перезаписать микросхему с BIOS.

Для модификации образа BIOS вредоносная программа использует программку cbrom.exe, которая включена в ее ресурсы. Посредством данной утилиты троян внедряет в образ свой модуль hook.rom в таком качестве, как ISA BIOS ROM. Потом Trojan.Bioskit.1 отдает драйверу команду на перепрошивку BIOS из обновленного файла.

При последующей перезагрузке ПК в процессе инициализации BIOS вызывает все имеющиеся PCI Expansion ROM. Вредоносный код каждый раз проверяет зараженность MBR и в случае необходимости перезаряжает ее. Отметим, что наличие Award BIOS в системе не гарантирует заражение данным трояном.

Система Orphus

Комментарии

Подписаться:
  • Комментарии не найдены

Оставить комментарий от имени гостя

Вложения

0