BIOS зловила вірус ...

Привіт, шановні читачі ресурсу WindowsFan.Ru !!!

Чи можливо створити вірус, який буде перехоплювати управління над комп'ютером ще на стадії включення? Питання це серйозний і, до речі, актуальний.

сьогодні технологія рухається до того, щоб передати правління новітньої заміні BIOS - UEFI. Поки нову базову систему введення-виведення доводиться бачити в ролі такого собі графічного аналога BIOS , Але AMI, до слова, випускала такі штуки і раніше, причому навіть з підтримкою миші.

Нові речі на зразок з'єднання з Інтернетом, автоматичного підключення до мереж або використання драйверів пристроїв, що підключаються поки не видно. Але вже зараз йде надія, що UEFI буде зберігатися на жорсткому диску. Виходить, що це всього лише заміна коду в перепрошивати мікросхемі.

Якщо вірус зможе заразити традиційний BIOS і буде невиліковний, скільки бід він може наробити, заразивши UEFI? Страшно навіть подумати.

Перепрограмувальна мікросхема BIOS хороша тим, що дозволяє оновлювати її засобами вбудованого заліза під управлінням спеціальної програми. Для кожного типу BIOS є своя програма, яка зазвичай робить такі речі: копіює вміст в файл, записує BIOS з файлу, порівнює версії прошивок.

Особливий секрет програм в маніпуляції номерами портів, до яких важко знайти опис. Але можна, якщо постаратися. У цьому випадку цілком реально створити програму, яка буде змінювати вміст мікросхеми.

Сьогодні прошивка BIOS має цілком очевидну структуру. Хоча при розгляді її через HIEW код може здатися «кашею», там все досить просто, достатньо розпакувати цей архів архиватором LHA. Після цього код стане явним, і вже ніщо не завадить внести в нього зміни.

У складі прошивки можуть зустрітися кілька архівів. Більш того, їх цілісність легко ідентифікувати за розміром, кратному 2 КБ, а також сигнатурам в кінці кожної ділянки. Зі зміною коду BIOS може знадобитися корекція контрольної суми, але вона там підраховується тривіальним чином - складанням байтів.

Найочевидніше, що можна придумати для BIOS: замінити логотип при завантаженні, впровадити в нього набір російського екранного шрифту замість псевдографіки. Можна ущільнити частина коду, щоб дописати свій функціонал. Наприклад, вірус, який одержує управління прямо при включенні машини.

Раніше умільці розбирали BIOS на гвинтики, щоб включати невидимі до цього пункти меню, але це вимагало надто великих зусиль. А ось з вірусом простіше: можна упакувати частина коду, помістити вірус, який при завантаженні скопіюється в пам'ять і розпакує BIOS. Тим більше, що той вже давно не виконується в залозі, а копіюється в тіньову пам'ять.

чи зможуть антивіруси лікувати такий вірус?

Тільки в теорії, так як навіть офіційна прошивка вимагає особливого стану системи. В антивірус доведеться додати коди всіх прошивальних утиліт з початку епохи комп'ютерів, інакше сенсу в цьому не буде. Але хто довірить цей код антивірусним компаніям?

В даному випадку ми маємо ситуацію, коли вірусу простіше потрапити в BIOS, ніж офіційним антивірусу. А це неодмінно станеться, адже вже є приклади таких «підселення».

На цьому мабуть все всім поки і до нових цікавих зустрічей з вами ...

Дивіться також:

Комп'ютерний вірус Flame. Державне кіберзброя або несанкціонована стеження за вами?
Небезпеки Інтернету: руткіта
фальшивий антивірус
Svchost.exe. Вірус або норма?
Як працюють програми-шпигуни.
Останні злісні віруси і способи боротьби з ними