Pull to refresh

Mebromi: новый BIOS-руткит

Reading time 2 min
Views 8.9K
2 сентября китайская компания Qihoo 360 сообщила о новом вирусе с BIOS-руткитом, обнаруженном на китайских компьютерах. Эта новость вызвала интерес специалистов по безопасности, потому что в «полевых» условиях таких программ не регистрировалось со времён концепта IceLord в 2007 году.

Программа под названием Mebromi содержит весь набор: BIOS-руткит, нацеленный на перепрошивку Award BIOS, буткит для модификации MBR, руткит на уровне ядра Windows, модификатор файлов PE и троян.

Вирус чётко нацелен на китайские системы и при работе проверяет присутствие антивирусных программ Rising Antivirus и Jiangmin KV Antivirus. На данный момент Mebromi не предназначен для заражения 64-битных систем и не способен работать на учётных записях пользователей с ограниченными привилегиями.

Чтобы получить возможность модифицировать BIOS, Mebromi использует два способа: либо запускает библиотеку flash.dll, которая загружает драйвер bios.sys, либо перехватывает beep.sys и переписывает его собственным кодом beep.sys, запускает сервис, а потом восстанавливает оригинальный код beep.sys.

Получив контроль над драйвером bios.sys, программа проверяет, что в качестве BIOS используется Award BIOS (присутствие строки $@AWDFLA). В этом случае осуществляется перепрошивка.



Если BIOS ROM соответствует искомому, руткит сохраняет копию BIOS в файле C:\bios.bin и переходит к следующему этапу. Дроппер извлекает файлы cbrom.exe и hook.rom. Первый — это стандартная программа Phoenix Technologies для модификации бинарников Award/Phoenix BIOS ROM. Hook.rom — руткит, который добавляется к бинарнику. Дроппер запускает программу cbrom.exe с параметром /isa. Но до реального инфицирования ISA ROM, дроппер проверяет код BIOS ROM на присутствие маркера “hook rom”, чтобы не производить вторичное заражение.



Дальше осуществляется заражение всех 14-ти секторов MBR и внедрение вредоносного кода в файл winlogon.exe или wininit.exe перед загрузкой Windows. Здесь тоже осуществляется проверка маркера инфицирования.



via Webroot Threat Blog
Tags:
Hubs:
+37
Comments 61
Comments Comments 61

Articles