Birus-ы. Часть первая.

Эпиграф.
Апокалипсический сценарий. Недалёкое будущее. Birus-эпидемия.

Вы вбиваете в поисковике "тур на двоих Анталия", попадаете на какой-то сайт, кликаете страничку с ценами, небольшая заминка и появляется прайс. Через минуту, подбирая нужный вариант отдыха, вы ещё не знаете, что в одной из глобальных бирус-ботнетов добавился ещё один компьютер. Что включив утром ноутбук больше никогда не сможете избавиться от этой гадости. И что в случае даже минимальных требований к безопасности, единственным выходом является лишь вариант полностью отключить его от Интернета, оставив в качестве печатной машинки, несетевых игр и пасьянсов.
Через совсем непродолжительное время незаражёнными остаётся уже меньшая часть всех компьютеров, в основном это древние рабочие лошадки типа Pentium 3 и старше. Смысл понятия "работа в Интернет" да и просто "Интернет" - катастрофически меняется. Занавес.

Что такое birus?

Birus – сокращение от BIOS-virus (согласно голосования это слово было выбрано для термина "Вирус в BIOS-е" или "BIOS-ный вирус") - вирус, который располагается в микросхеме Flash/EEPROM. Т.е. принципиальным отличием его есть тот факт, что он находится в постоянной памяти компьютера и удалить его без перешивки (обновления прошивки BIOS) нельзя. В дополнение ещё и то, что и обнаружить его тоже крайне сложно вплоть до вообще невозможно. В остальном (зловредные действия) бирусы ни чем не отличаются от различных вирусных программ типа троянов сотоварищи.

Как работает birus?

Получив управление, бирус внедряется в BIOS (например, считав текущую прошивку и добавив в неё свой код) и перезагружает компьютер (либо пассивно ждёт, пока сам пользователь её осуществит). После очередной загрузки зловредный код становится совершенно невидим для любой работающей в операционной системе программы. Кроме того его код получает возможность одинаково работать в любой операционной системе – Windows, Linux, MAC OS и т.д.

Что может бирус?

  • Он может заразить (получить управление и/или выполнить другие зловредные действия) любое приложение для любой операционной системы.
  • Он может быть совершенно невидим - запретив возможность своего обнаружения.
  • Он может быть совершенно неудаляем – запретив возможность обновления BIOS.
  • Он может осуществлять зловредные действия в любое время и абсолютно прозрачно (т.е. его процесс активности нельзя заметить и остановить) в процессе работы компьютера.
  • Он имеет доступ ко всем устройствам компьютера, обладая всеми возможностями ОС и даже больше.

Можно ли защититься от заражения бирусом?

Можно. Но сначала перечислим, что ему не помешает:
  1. Установки любых паролей в BIOS никак не защитит от бируса.
  2. Прошивка нового BIOS «на самом компьютере» - может не помочь избавиться от бируса. Это верно для перешивки как под DOS, так и под Windows (или другой OS).
Реально защититься от бируса можно лишь на старых компьютерах, у которых есть перемычка для защиты BIOS от перешивки. Обычно это компьютеры Pentium II и старше.

Где доказательства, что бирусы вообще есть?

Доказательства известны и работают ещё с 2002-года, они доступны для скачивания на главной странице www.ROM.by. Называется этот бирус – BIOS Patcher. Характерный классический полуавтоматический представитель - это когда процесс прошивки происходит самим пользователем. Плюс, конечно, вместо зловредных он обладает исключительно полезными свойствами. Однако это не отменяет его природу. И тот факт, что вот уже столько лет он благополучно работает даже на самых ультрасовременных системах, которых близко не было при его разработке – ещё один показательный пример потенциала бирусов.

Лирическое отступление 1.

В 2004-м году, на излёте разработки BIOS Patcher-а мною были успешно закончены тестовые испытания одной из его возможностей – прошивки BIOS его же (BIOS-а) средствами. Сложно сходу осознать результаты этого опыта, однако после него я прекратил все разработки в этом отношении, лишь саркастически отрапортовав на форуме www.ROM.by банальным "Что бы ни делал человек – всё равно получается оружие."

Лирическое отступление 2.

В 2006-м году началась активная фаза других моих экспериментов - с SMM. И через год была успешно протестирована другая возможность патчера – универсально перехватывать управление под любой ОС (Windows, Linux, MAC и т.д.) Ситуация ещё раз доказала всё ту же истину - «Что бы ни делал человек…»
Молчание – золото.
Не сложно догадаться, что могут дать такие технологии, потому тогда было решено просто замять этот процесс и не создавать никакой особой огласки, даже намёками, о том, как такое может работать. Понятно, раз мне удалось до этого дойти, значит и другие смогут это повторить и усовершенствовать впоследствии. И действительно, уже через год стали всплывать заявления в стиле "Обнаружен супер-пупер руткит, использующий уязвимость таких-то процессоров сотоварищи". Ещё через год их стало много больше. Хотя в реальности абсолютное большинство новостей из данной области были (и остаются) чисто пиарными, лишь умно рассказывающими о том, в чём никто абсолютно не разбирается. И не раз хотелось вставить свои пять копеек... Не важно, в общем, недавнее сканирование по этому вопросу Интернета показало, что данную тему уже точно не замнут, потому нужно выходить из текущего пассивного состояния "созерцания происходящего" в активное - чтобы максимально приготовиться к надвигающейся эре бирусов. Нужно писать BIOS Patcher 8.0 – первый антибирус.

Если данная информация оказалась полезной/интересной - плюсаните, пожалуйста:

Аватар пользователя miXel

Всё хуже и хуже....

Товарищи, бирус - не миф. Расскажу свою историю.

К пользователю на компьютер с двумя операционками (WinXP Home и WinXP Professional) на профессиональную после установки МГТС-ного интернета каким-то странным мастером пролез WinLOCK. Я - ясное дело! - запустил из-под домашней курейта, отловил семерых "приятелей" троянского, рекламного и шпионского назначения. Гружсь под профессиональной - систему загрузил, а таскменеджера, експлорера и вообще ничего - рабочего стола, менеджера запуска (тот что по WIN+R запускается) - нету! изо всех попыток мне удалось запустить только менеджера специальных возможностей, который естественно нафиг не нужен, так как из-под него ничего кроме экранной лупы и клавиатуры не запустить. Чертыхаюсь, перезагружаюсь и из-под DOS пытаюсь запустить инсталляцию винды в режиме восстановления. Ноль эмоций - не доходит даже до синего экрана с надписью внизу "Программа проверяет текущую конфигурацию оборудования". Чертыхаюсь второй раз, перезагружаюсь и тыкаю "установка с файла ответов" - то же самое. Чешу затылок, пытаюсь подгрузить WinPortableEdition - не грузит!! Вынимаю диск из привода, минуты три тупо ищу царапины - их нет. вообще. Перезагружаюсь в режиме самопроверки CD-диска - он рапортует о полной исправности поверхности и данных. Ищу ругательства, повторно перезагружаюсь - уже в домашней пользовательской операционке и запускаю из-под неё инсталлятор. Тот скопировал файлы на хард, начал штатно перезагрузать - но после БИОСа комп отключил экран и заверещал динамиком будто я какую кнопку зажал и не отпускал. Взвыв как кулер процессора, отрубаю. питание и повторно гружу систему - и только тут смог выбрать в меню Boot.ini третью строчку с установкой. Восстановив систему, вторично проверил мой CD-диск - он чист, без бэдов и царапин. Ничем другим как бирусом я объяснить не могу - только ему под силу прерывать загрузку ДОС-овского установщика WINDOWS.

И - кстати, вопрос, когда и где появится первая версия АнтиБИРУСа? нутром чую: скоро он ох как понадобится...

news.drweb.com/show/?i=1879&lng=ru&c=14


Можно начинать бояться в полный рост. Что думают профи на счёт вышеприведенного ?

Аватар пользователя savely

Цитата:
Что думают профи на счёт вышеприведенного ?

Так выше уже все написано...

А кому счас легко...

Вся эта хрень стала стала возможной благодаря лени и попустительству разработчиков материнских плат. Что им мешало сделать нестираемый загрузчик, опцию "запретить запись в BIOS в Cmos Setup" и т.п. Зло берет на все эти гадские выкрутасы.

R11 писал(-а):
Что им мешало сделать нестираемый загрузчик
Загрузчик в стиле ReadOnly ничем не поможет:).

R11 писал(-а):
опцию "запретить запись в BIOS в Cmos Setup"
Подчеркнутое - бред:D.

R11 писал(-а):
опцию "запретить запись в BIOS" в Cmos Setup.
Подчеркнутое - бред.

Почему - бред. Смотря как запрещать. Можно использовать аппаратный триггер, взводится программно, сбрасывается аппаратно сигналом Reset. Аналогично и сам Cmos защитить от записи.

R11 писал(-а):
Почему - бред.
Потому что запись в CMOS не дает бирусам ничего полезного, а механизм запрета/разрешения записи в CMOS создаст дополнительные трудности обычному ПО.
Т.е. предложение полностью бессмысленно.

Вы меня опять не поняли. В моем предложении по сути речь идет о возрождении перемычки запрета записи в микросхему BIOS, но в виртуальном виде. Раз пошла мода убирать физические перемычки с материнской платы (хотя обновление BIOS - такое редкое событие и чем она там мешала), то производители должны были позаботится о создании виртуальной перемычки (также как частота, питание) с помощью настроек в CMOS. Использование триггера - одна из возможных реализаций такой перемычки. Все настолько просто, что зло берет - почему не делают!!!

Программная работа с триггером уязвима:D.

Аватар пользователя Santa

А интерактивный режим с юзверем на таком уровне уязвим тем более..

-=Кто сказал что бесполезно биться головой об стену...=- (НП)
Пх’нглуи мглв’нафх Ктулху Р’льех вгах’нагл фхтагн
Хочешь сделать хорошо - сделай это сам

Конечно, надежнее старой доброй перемычки ничего нет. Но использование аппаратного триггера все-таки значительно надежнее применяемых сейчас сложных алгоритмов записи, которые рано или поздно все равно вскрываются. А работать с триггером и не надо - у него только одна команда "Поставить защиту от записи", снять поставленную защиту программно невозможно, она снимается сама сигналом Reset, т.е. холодной перезагрузкой. Родной не зараженный BIOS по опции "запретить запись в BIOS" каждый раз её снова ставит. У такого предложения тоже есть недостатки - если уж вирус по глупости пользователя в BIOS проник, то выковырять его оттуда можно будет только программатором. Тем не менее, это лучше чем сейчас - практически ничего. Легко придумать и кучу других действенных способов, но этого производители не делают. Вот чего и злит!

Аватар пользователя Bishop

думаю гнилобайт чоньть придумает вскоре )) Они ж любили дуал совать... Вот и сообразят шо-то типа "песочницы", которая "смывается" при ребуте...

R11 писал(-а):
у него только одна команда "Поставить защиту от записи", снять поставленную защиту программно невозможно, она снимается сама сигналом Reset, т.е. холодной перезагрузкой
Отлично, предположим, что программная работа с триггером полностью защищена:
1. Прошел POST.
2. Аппаратный триггер взведен в положение "никого не пущать" для CMOS и flash.
3. Запуск произвольной ОС произведен успешно.
4. Пользователю захотелось перепрошить BIOS новой версией от производителя с целью получить поддержку свежевыпущенных процессоров.
И тут пользователю сообщается, что он должен произвести перезапуск, заглянуть в BIOS Setup и найти флешер (или вызвать при прохождении POST), а затем разбираться с тем, что флешер не поддерживает ту или иную файловую систему на HDD, поэтому файл прошивки нужно скопировать на какой-нибудь другой носитель и только потом подсунуть флешеру:D. Можно спрогнозировать, куда отправят пользователи производителя подобной матплаты:).

P.S. Придумывать можно много разных конструкций, но желательно не забывать об инертности как производителей, так и пользователей.

На этот раз вы абсолютно правильно меня поняли и расписали последовательность действий.

Насчет неприятия пользователей, я не считаю, что усложнение такого редкого действия как обновление BIOS, может многих оттолкнуть.
Обычные пользователи и слова BIOS не знают, а обновлять его самостоятельно им тем более не требуется. Продвинутый скорее предпочтет
материнскую плату с защитой от бируса, а выполнить хорошо расписанную в инструкции последовательность действий раз в полгода (а то и реже) ему будет даже интересно. Касательно носителей, то сейчас USB-флешки есть у всех (прямо как раньше дискета), её и можно использовать. Файловая система - чем плоха FAT32, пользователю Windows ничего не надо придумывать, линуксоид тем более справится.

А для особых эстетов, которым нужно автоматическое обновление BIOS, также есть известное решение - использовать подписанный образ BIOS.
Например, центральный процессор прямого доступа к управлению процессом записи в BIOS лишен. Записью занимается специальный контроллер, который получает от ЦП подписанный образ, проверяет подпись с помощью жестко вшитого в него ключа, сам принимает и выполняет решение - обновлять/не обновлять.

Инертность производителей - очень плохо, но я все же надеюсь, что такой опасный класс вирусов как бирусы, умрет не успев окрепнуть. Старые материнки уже никак не защитить, а новые должны иметь защиту.

P.S. Немного не по теме. Но все же. Переходят сотовые операторы на SIM-карты с алгоритмом comp128v2, не подверженные клонированию. Хоть опасности особой и нет.

R11 писал(-а):
Обычные пользователи и слова BIOS не знают, а обновлять его самостоятельно им тем более не требуется
Ну-ну, производителям вероятно больше нечего делать, как изобретать всяческие конструкции, упрощающие процесс перешивки BIOS для обычного пользователя:).

R11 писал(-а):
чем плоха FAT32
Она не так уж и плоха, вот только все реже встречается. Вышеописанный пример - это не такая уж и давняя реальность.

R11 писал(-а):
Например, центральный процессор прямого доступа к управлению процессом записи в BIOS лишен. Записью занимается специальный контроллер
Цитата:
[Процессор] с учетом растущего семимильными шагами интеллекта "периферии" (в первую очередь - видеокарт) и чипсетов, вообще, рискует со временем превратиться в "модуль аппаратной поддержки Windows".
:D

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • You can use BBCode tags in the text. URLs will automatically be converted to links.

Подробнее о форматировании текста

Антибот - введите цифру.
Ленты новостей