Вирус може да презапише BIOS-а на дънната платка и да поддържа инфектиран сектора за зареждане на твърдия диск, алармира компанията за сигурност Доктор Уеб.
Достъпът и презаписът на BIOS е принципно трудна задача. Необходимо е взаимодействие с чипсета на дънната платка за разрешаване на достъпа до чипа с BIOS, а след това опознаване на самия чип и прилагане на познат за него протокол за изтриване и запис на данни
Авторът на вируса Trojan.Bioskit.1 е намерил по-лесен път за проникване в чипа с фърмуера, като е възложил задачата на самия BIOS. Троянецът стъпва на китайско изследване още от 2007 година, когато при анализ на помощната програма Winflash за Award BIOS беше открит прост начин за презапис на фърмуера чрез услуга на самия BIOS.
Първоначално, инсталаторът на Trojan.Bioskit.1 проверява дали в операционната система са пуснати няколко процеса на китайски антивируси. Ако такива бъдат открити, троянецът създава прозорец, от който се извиква неговата основна функция. След това определя версията на операционната система и в случай, че тя е Windows 2000 и по-нова, с изключение на Vista, продължава заразяването.
Инсталаторът разопакова и съхранява на твърдия диск драйвер bios.sys. В зависимост от конфигурацията на системата, вирусът се инсталира чрез презапис на системния драйвер или като бъде записана на диска библиотека, която се внедрява в системните процеси. Библиотеката има за цел да пусне драйвера bios.sys чрез стандартни средства.
Ако не успее да пусна bios.sys, троянецът преминава към заразяване на блока за зареждане (MBR) на твърдия диск, като презаписва първите 14 сектора.
За презапис на фърмуера, вирусът използва помощната програма Сbrom.exe от Phoenix Technologies, която е включена в инсталационния пакет. При всички последващи стартирания на компютъра, в процеса на инициализация на модифицирания BIOS се проверява дали MBR секторът е заразен, като при необходимост зареждащият блок се инфектира отново.
Trojan.Bioskit.1 е способен да зарази само дънни платки с BIOS от Award. Наличието на подобен фърмуер обаче не означава непременно, че системата може да бъде заразена. От три проверени платки, специалистите на Доктор Уеб са успели да заразят само една.
Такива вируси не намират обикновените потребители , този тип атака се ползва в офис сграда на голяма корпорация където се заразяват всички биоси и така дори и след преинсталация вредия код да остане .
което налага форматиране на всички работни станции което за една офис сграда на банка с 400 служители .
Според някои руски сайтове и този проблем е решен кат се използва метод на флашване чипа на клавиатурата като там се записва мини код който служи за отваряне на задна врата в операционната система . Споменава се и въпроса какво би станало ако сайта на производителя бъде хакнат и оригиналните файлове за ъпдейт на биосите бъдат подменени .
Хаха хората с Vista са защитени.
…накара да алармира при презапис. От Доктор Уеб явно ни взимат за абдали. На ваше място не бих публикувал статията, тъй като няма голяма достоверност.
Пълни глупости. Подобни вируси не могат да бъдат задействани под съвременна операционна система била тя Linux,Windows или MAC OS . Win98 и Милениум бяха последните които позволяваха директен запис или четене от паметта, защото не използваха NT ядрото. При съвременните системи записа и четенето на която и да е част от паметта MBR сектор,потребителски сектор,RAM,BIOS,памет на лан картата, стават с помощта на функции на системата.
Такива вируси имаше накога, а сигурно и сега ги има, но почти никой не ги среща, защото е нужен стартиращ диск. Освен това всеки биос има настройка която може да го