Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 61
В биосе выставление опции запрета прошивки спасет?
Надо подождать, сейчас придет кто нибудь, кто в теме и расскажет всё правду без желтизны.
интересно что сохраняет оригинальный bios, может ли это быть для тех кто будет потом эту пакость чистить? )
если бы я знал что словил bios-руткит, я бы использовал прошивку с сайта производителя
если бы я знал что словил bios-руткит, я бы использовал прошивку с сайта производителя
Наверняка просит СМС и потом код. Если верный востановит сама.
Это для авторов вируса скорее всего. Им тоже надо зараженные компы иногда чистить.
Бэкап биоса нужен, чтобы пропатчить его с помощью cbrom.exe (т.к. биосы у материнок разные), добавив код из hook.rom, чтобы потом уже пропатченый биос прошить в ПК. Так что по сути это и не бэкап вовсе.
В Windows 2000 (а может и NT) появилось ограничение на запись из юзерспейса.
Плюс в некоторых BIOS можно запретить обновление вообще.
Плюс в некоторых BIOS можно запретить обновление вообще.
Да нет, а как же флешить тогда?
Ну BIOS из-под винды ведь обновить можно? не?
Не совсем из-под винды. Да, инсталлятор толкается как обычный exe-шник под виндой, но прошивка происходит после ребута. ИМХО, инсталлятор одноразово переписывает загрузчик, и потом шьёт ещё до этапа выбора системы.
и не способен работать на учётных записях пользователей с ограниченными привилегиями.Не троллинга ради, но ведь это в 99% случаев ключевой момент.
А статья интересная.
> Не троллинга ради, но ведь это в 99% случаев ключевой момент.
Думаете? 90% компьютеров в Китае до сих пор на Windows XP.
Думаете? 90% компьютеров в Китае до сих пор на Windows XP.
В большенстве случаев, простые смертные юзеры юзают дефолтную учетку, далее делайте выводы.
Ну, существует множество остроумных способов повышения привелегий в операционных системах семейства NT :-) А некоторые из них прячутся в IE позволяя загрузить и выполнить произвольный код с правами администратора. А с прошивкой Award-ов тоже есть ряд интересных моментов, так-что самое надёжное ограничение записи джампер\перерезаная ножка…
РЕШЕТО! (тм)
Китайцы осилили www.rom.by/article/Birus-y_Chast_pervaja?
Из статьи не следует — что же вирус делает? Да, он прошивает биос, заражает библиотеки и исполняемые файлы, но делает-то он что?
О! Наконец-то нормальная зверушка появилась. А то всё зевсы да винлокеры.
Когда вышел Win7 RTM и утек сертификат Lenovo, было массовое помешательство с прошивкой BIOS с новым SLIC. Как-то доверяли источникам и брали готовые образы. Вот тогда думаю могли бы попать что называется своими руками.
Нежизнеспособное поделие. И тому несколько причин:
1) Авард как биос сейчас применяется всё реже и реже.
2) Инфицирование дубовое — на авардах с базой исходников после гдето 2008 года работать не будет — там вырезана начисто поддержка isa boot rom.
Вообще механизм внесения вирусни в код биоса самый простой — желающие могут попробовать поискать про ROMOS — штука интересная (дос вшиваемый в любой биос, умеющий ISA/PCI Bootrom и содержащий около 40-60кб. свободного места). К томуже ROMOS более жизнеспособен, чем вышеописаная вирусня, т.к. умеет прикидываться pci boot rom-ом сетевушки (а у кого сейчас в рабочей машине нет сети? Да и по прямому назначению загрузка по сети юзается редко и в основном в крупных фирмах да и у энтузиастов тонких клиентов).
Собственно краткое описание, как эта зараза работает:
Во время прохождения POST тестирования (каждый раз при включении ПК) биос ищет дополнительные биосы плат расширения. В случае PCI BootRom осуществляется также поиск соответствующего по VID/DID ему устройства. А вот в случае ISA таковое не производится — такой дополнительный код распаковывается по жестко заданному адресу, который задан в расширении. (на практике 0xA0000-0xF0000 участок и то, свободен он в сегменте 0xD0000, в A-B лежит SMI, в E-F — код самого bios, а C занято видеокартой) Биос видеокарты по принципу хранения выглядит как ISA модуль, но распаковывается и инициализируется раньше.
После распаковки кода биос передает управление коду. На этом этапе вирусу становятся доступными первый и второй жесткие диски и флопповод. Другие устройства вирус может использовать только через прямую работу с их железом (что почти невозможно, т.к. либо код не влезет в свободное место в биосе, либо будет поддержка очень узкого круга оборудования).
Если комуто нужны подробности — читаем красивую книжку «BIOS. Дизассемблирование, модификация, программирование» Автор: Дармаван Салихан
В качестве proof of concept вполне сгодится, но по способу вирус опоздал на 10 лет.
1) Авард как биос сейчас применяется всё реже и реже.
2) Инфицирование дубовое — на авардах с базой исходников после гдето 2008 года работать не будет — там вырезана начисто поддержка isa boot rom.
Вообще механизм внесения вирусни в код биоса самый простой — желающие могут попробовать поискать про ROMOS — штука интересная (дос вшиваемый в любой биос, умеющий ISA/PCI Bootrom и содержащий около 40-60кб. свободного места). К томуже ROMOS более жизнеспособен, чем вышеописаная вирусня, т.к. умеет прикидываться pci boot rom-ом сетевушки (а у кого сейчас в рабочей машине нет сети? Да и по прямому назначению загрузка по сети юзается редко и в основном в крупных фирмах да и у энтузиастов тонких клиентов).
Собственно краткое описание, как эта зараза работает:
Во время прохождения POST тестирования (каждый раз при включении ПК) биос ищет дополнительные биосы плат расширения. В случае PCI BootRom осуществляется также поиск соответствующего по VID/DID ему устройства. А вот в случае ISA таковое не производится — такой дополнительный код распаковывается по жестко заданному адресу, который задан в расширении. (на практике 0xA0000-0xF0000 участок и то, свободен он в сегменте 0xD0000, в A-B лежит SMI, в E-F — код самого bios, а C занято видеокартой) Биос видеокарты по принципу хранения выглядит как ISA модуль, но распаковывается и инициализируется раньше.
После распаковки кода биос передает управление коду. На этом этапе вирусу становятся доступными первый и второй жесткие диски и флопповод. Другие устройства вирус может использовать только через прямую работу с их железом (что почти невозможно, т.к. либо код не влезет в свободное место в биосе, либо будет поддержка очень узкого круга оборудования).
Если комуто нужны подробности — читаем красивую книжку «BIOS. Дизассемблирование, модификация, программирование» Автор: Дармаван Салихан
В качестве proof of concept вполне сгодится, но по способу вирус опоздал на 10 лет.
В случае PCI BootRom осуществляется также поиск соответствующего по VID/DID ему устройства.
А вот с этого места можно поподробнее? Я когда-то писал биос экстеншен именно как PCI бутром, все прокатывало на ура. DID и VID нужны для корректного заполнения полей BAR и прочих регистров, но, как показал опыт, работет и с инвалидом. А в остальном да, согласен.
тут чуть больше технических подробностей
> руткит сохраняет копию BIOS в файле C:\bios.bin
Ну да, ну да, вот незаметненько так совсем. Хотя бы переменную %TEMP% горе-вирусописатели ещё не освоили. А вообще тренд нехороший, конечно. И вот ещё немножко подробностей от Симантека — вроде ссылки выше я не видел пока: BIOS Threat is Showing up Again
Ну да, ну да, вот незаметненько так совсем. Хотя бы переменную %TEMP% горе-вирусописатели ещё не освоили. А вообще тренд нехороший, конечно. И вот ещё немножко подробностей от Симантека — вроде ссылки выше я не видел пока: BIOS Threat is Showing up Again
Да что там руткиты.
Вот реальная история с обычным Вормом и ноутом Toshiba A665
Мое письмо поддержке:
Здравствуйте.
Сегодня попытался скачать новую версию биос для ноутбука Satellite A665
Сайт поддержки:
ru.computers.toshiba-europe.com/innovation/download_bios.jsp?service=RU
Выдал ссылку на BIOS 2.10 от 09/09/11 и антивирус Касперского
утверждает, что внутри вирус Email-Worm.Win32.Runouce.b
Вот ссылка на файл на вашем сервере, в котором вирус:
support1.toshiba-tro.de/tedd-files2/0/bios-20110909104312.zip
В моем ноутбуке перегревается видеокарта при работе и я надеялся, что
новый bios поможет исправить это недоразумение и не вынудит меня
относить мой коимпьютер в сервис. Но пока я воздержался от запуска
этой программы установки. Пожалуйста, проясните ситуацию. Как удалить
вирус из архива с новой версии BIOS? (Kaspersky я только что обновил
до самой актуальной версии 2012, но все равно он находит этот вирус и
удаляет файл).
Заранее благодарен!
С уважением,
Антон
— официальный ответ:
— Здравствуйте,
Производитель не внедряет вирусы в свои драйверы.
Для установки BIOS отключите антивирус, так же желательно по максимуму отключить программы.
Ноутбук должен быть подключен к электросети.
С уважением,
Информационный Центр Toshiba,
отдел персональных компьютеров
E-mail: hotline@toshiba.ru | URL: www.toshiba.ru
Тел:
+7
(800)
100-05-05
(бесплатный для России)
Тел:
+7
(495)
983-05-05
(бесплатный для Москвы)
Факс:
+7
(495)
983-05-05
Тел:
0
(800)
50-35-00
(бесплатный для Украины)
Тел:
8
10
(800)
1000-05-05
(бесплатный для абонентов Казахтелеком в Казахстане)
Тел:
8
10
(800)
1000-05-05
(бесплатный для абонентов Белтелеком в Беларусии)
Тел:
00
(800)
1000-05-05
(бесплатный для абонентов Молдтелеком в Молдавии)
— Ну, антивирусы тоже ошибаются, подумал я.
Полагаете, что я наблюдал, отключив антивирус и «по максимуму все программы»?
Совершенно верно! Тотальное заражение компьютера. Убил сегодня весь день на восстановление компьютера. И вот сейчас проверяю еще раз по полной (еще пара часов и золотой ключик в кармане).
К слову сказать, это не вся история.
Было и еще одно письмо в саппорт, на которое ответа не получил.
— Спасибо за ответ.
Вот сейчас попробовал скачать еще раз этот архив по ссылке с сайта поддержки, но получил ответ 404 — File not found
Возможно, этот архив с биосом можно получить каким-то другим способом?
И теперь сам сайт поддержки пишет «Для выбранной модели обновлений BIOS не обнаружено»
Так что посоветуете сделать? У меня Satellite A665-12K перегревается и выключается. :(
Заранее благодарен,
Антон
— Ноут действительно перегревается от длительного использования видео и выключается сам. Продлеваю жизнь пока охлаждающей подставкой, но ее с собой неудобно носить, так что это не панацея.
Вообще, чем дальше, тем больше портится мое мнение о сервисе Тошибы в России.
Вот, а вы говорите — руткиты в биосе :) Вирусы в архивах с обновлениями биоса, вот реальность. :(
Хорошо, хоть гарантия у ноута долгая еще, доделаю проект и сдам его в ремонт, пусть охлаждение меняют на более производительное… или лечат как-то. Видео в дороге смотреть невозможно, 20 минут и комп вырубается без предупреждения.
Вот реальная история с обычным Вормом и ноутом Toshiba A665
Мое письмо поддержке:
Здравствуйте.
Сегодня попытался скачать новую версию биос для ноутбука Satellite A665
Сайт поддержки:
ru.computers.toshiba-europe.com/innovation/download_bios.jsp?service=RU
Выдал ссылку на BIOS 2.10 от 09/09/11 и антивирус Касперского
утверждает, что внутри вирус Email-Worm.Win32.Runouce.b
Вот ссылка на файл на вашем сервере, в котором вирус:
support1.toshiba-tro.de/tedd-files2/0/bios-20110909104312.zip
В моем ноутбуке перегревается видеокарта при работе и я надеялся, что
новый bios поможет исправить это недоразумение и не вынудит меня
относить мой коимпьютер в сервис. Но пока я воздержался от запуска
этой программы установки. Пожалуйста, проясните ситуацию. Как удалить
вирус из архива с новой версии BIOS? (Kaspersky я только что обновил
до самой актуальной версии 2012, но все равно он находит этот вирус и
удаляет файл).
Заранее благодарен!
С уважением,
Антон
— официальный ответ:
— Здравствуйте,
Производитель не внедряет вирусы в свои драйверы.
Для установки BIOS отключите антивирус, так же желательно по максимуму отключить программы.
Ноутбук должен быть подключен к электросети.
С уважением,
Информационный Центр Toshiba,
отдел персональных компьютеров
E-mail: hotline@toshiba.ru | URL: www.toshiba.ru
Тел:
+7
(800)
100-05-05
(бесплатный для России)
Тел:
+7
(495)
983-05-05
(бесплатный для Москвы)
Факс:
+7
(495)
983-05-05
Тел:
0
(800)
50-35-00
(бесплатный для Украины)
Тел:
8
10
(800)
1000-05-05
(бесплатный для абонентов Казахтелеком в Казахстане)
Тел:
8
10
(800)
1000-05-05
(бесплатный для абонентов Белтелеком в Беларусии)
Тел:
00
(800)
1000-05-05
(бесплатный для абонентов Молдтелеком в Молдавии)
— Ну, антивирусы тоже ошибаются, подумал я.
Полагаете, что я наблюдал, отключив антивирус и «по максимуму все программы»?
Совершенно верно! Тотальное заражение компьютера. Убил сегодня весь день на восстановление компьютера. И вот сейчас проверяю еще раз по полной (еще пара часов и золотой ключик в кармане).
К слову сказать, это не вся история.
Было и еще одно письмо в саппорт, на которое ответа не получил.
— Спасибо за ответ.
Вот сейчас попробовал скачать еще раз этот архив по ссылке с сайта поддержки, но получил ответ 404 — File not found
Возможно, этот архив с биосом можно получить каким-то другим способом?
И теперь сам сайт поддержки пишет «Для выбранной модели обновлений BIOS не обнаружено»
Так что посоветуете сделать? У меня Satellite A665-12K перегревается и выключается. :(
Заранее благодарен,
Антон
— Ноут действительно перегревается от длительного использования видео и выключается сам. Продлеваю жизнь пока охлаждающей подставкой, но ее с собой неудобно носить, так что это не панацея.
Вообще, чем дальше, тем больше портится мое мнение о сервисе Тошибы в России.
Вот, а вы говорите — руткиты в биосе :) Вирусы в архивах с обновлениями биоса, вот реальность. :(
Хорошо, хоть гарантия у ноута долгая еще, доделаю проект и сдам его в ремонт, пусть охлаждение меняют на более производительное… или лечат как-то. Видео в дороге смотреть невозможно, 20 минут и комп вырубается без предупреждения.
Вот тебе и Тошиба…
Спасибо! Я как раз сейчас искал. Только проблема в том, что у меня ноут серии PSAW3E, а этот биос для PSAW9E. У них разные процессоры, видеокарты и я опасаюсь ставить его на свой. Кстати. до этого вообще убрали обновления всех серий. Возможно, и для PSAW3E добавят скоро…
У канадцев есть
ftp.toshiba.ca/support/download/ln_byModel.asp
9/9/2011 PSAW3C 06F017 C Канада Е Европа?
BIOS Update (Windows Installation) Windows 7 32bit, Windows 7 64bit 2.00
Твой Toshiba Satellite A665-12K (PSAW3E-06R019RU)?
Похоже, что он только кирилицей на клаве отличается и локализоавнной виндой.
А, по хорошему, отнести бы его на сервис, не верю я что перегрев видяхи биосом лечится.
ftp.toshiba.ca/support/download/ln_byModel.asp
9/9/2011 PSAW3C 06F017 C Канада Е Европа?
BIOS Update (Windows Installation) Windows 7 32bit, Windows 7 64bit 2.00
Твой Toshiba Satellite A665-12K (PSAW3E-06R019RU)?
Похоже, что он только кирилицей на клаве отличается и локализоавнной виндой.
А, по хорошему, отнести бы его на сервис, не верю я что перегрев видяхи биосом лечится.
руткит сохраняет копию BIOS в файле C:\bios.binКакой заботливый.
Даже вирусы делают бэкапы!
Тошиба! Тошиба! Качество хорошее.
Тайвань
внизу мелким шрифтом:
сделано в Китае
Тайвань
внизу мелким шрифтом:
сделано в Китае
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Mebromi: новый BIOS-руткит