Уже несколько антивирусных компаний сообщили об
идентификации первого в истории вируса, способного модифицировать содержимое
загрузочной микросхемы BIOS, используемой в большинстве
современных компьютеров. Этот вирус, получивший название Trojan.Mebromi по
классификации Symantec или Trojan.Bioskit.1
по классификации «Доктор Веб», способен менять не только содержимое BIOS, но и загрузочный сектор жесткого диска, что сильно
затрудняет борьбу с этим вирусом. Несмотря на пугающие потенциальные
возможности, сравнимые с нашумевшим в 90-е годы прошлого века вирусом CIH/Chernobyl, обнаруженная в «диком
виде» версия имеет все черты экспериментальной разработки и на данный момент не
считается очень опасной.
Модификация BIOS в вирусе
выполняется с целью защитить модифицированные загрузочные секторы жесткого
диска. Как выяснилось, на данный момент вирус Mebromi
способен заражать только чипы BIOS марки
Award, причем в состав вируса входят фирменные утилиты
для программной перепрошивки BIOS, созданные компанией Phoenix, которая приобрела фирму Award еще в конце 1990-х годов. Если в ПК используется BIOS других марок, вирус записывает вредоносный код только в
загрузочный сектор, защищая этот код за счет заражения таких ключевых системных
процессов, как winlogon.exe и winnt.exe.
За счет такого глубокого внедрения в систему вирус Mebromi является очень непростым противником для современных
антивирусных решений.
По мнению ряда экспертов, Mebromi бросает серьезный вызов всем разработчиков антивирусов,
поскольку столь экзотический способ распространения и заражения сильно
затрудняет создание средств, способных полностью очистить компьютер от следов
вируса. Так, загрузочный MBR-сектор можно восстановить
программными средствами без загрузки операционной системы – это уже
отработанная технология. С другой стороны, очистка BIOS
это уже гораздо более серьезная задача, в которой обязательно должны
участвовать производители материнских плат. Дело в том, что малейшая ошибка в
процедуре очистки BIOS может привести к полному выходу
системы из строя – система просто перестанет включаться и загружаться, а
материнскую плату во многих случаях придется просто выкинуть.
Появление вируса Mebromi считается
третьим случаем появления вируса, способного модифицировать BIOS,
однако считается первым документированным случаем, когда подобный вирус
обнаружен в «диком виде». Тем не менее, стоит обратить внимание, что упомянутый
вирус CIH/Chernobyl, работавший
в операционных системах Windows 95/98, тоже
модифицировал BIOS, но делал это разрушительным образом
при срабатывании «логической бомбы» уничтожалась информация на жестких дисках
и содержимое перезаписываемой части BIOS. Вирус Mebromi в этом отношении выглядит «гуманнее» - он лишь
использует модификацию BIOS, чтобы скрыть части своего
кода в MBR-секторе от антивирусного сканирования. Также
стоит упомянуть, что в 2007 году был опубликован экспериментальный вариант
вируса IceLord, который теоретически мог менять
содержимое BIOS, но никогда не встречался в реальных
атаках, то есть в «диком виде».
Примечательно, что первые случаи обнаружения вируса Mebromi зафиксированы близко к первоисточнику CIH/Chernobyl – в Китае (вирус CIH/Chernobyl был создан тайваньским
студентом и нанес наибольший ущерб именно Китаю, за что его автор принес
публичные извинения). Первыми документировали появление вируса Mebromi специалисты из китайской
антивирусной компании Qihoo 360 – из всех случаев
заражения большинство зафиксировано именно в КНР.
По материалам сайтов The Register и блога
компании Symantec.
|
