Mebromi: новый BIOS-руткит

    2 сентября китайская компания Qihoo 360 сообщила о новом вирусе с BIOS-руткитом, обнаруженном на китайских компьютерах. Эта новость вызвала интерес специалистов по безопасности, потому что в «полевых» условиях таких программ не регистрировалось со времён концепта IceLord в 2007 году.

    Программа под названием Mebromi содержит весь набор: BIOS-руткит, нацеленный на перепрошивку Award BIOS, буткит для модификации MBR, руткит на уровне ядра Windows, модификатор файлов PE и троян.

    Вирус чётко нацелен на китайские системы и при работе проверяет присутствие антивирусных программ Rising Antivirus и Jiangmin KV Antivirus. На данный момент Mebromi не предназначен для заражения 64-битных систем и не способен работать на учётных записях пользователей с ограниченными привилегиями.

    Чтобы получить возможность модифицировать BIOS, Mebromi использует два способа: либо запускает библиотеку flash.dll, которая загружает драйвер bios.sys, либо перехватывает beep.sys и переписывает его собственным кодом beep.sys, запускает сервис, а потом восстанавливает оригинальный код beep.sys.

    Получив контроль над драйвером bios.sys, программа проверяет, что в качестве BIOS используется Award BIOS (присутствие строки $@AWDFLA). В этом случае осуществляется перепрошивка.



    Если BIOS ROM соответствует искомому, руткит сохраняет копию BIOS в файле C:\bios.bin и переходит к следующему этапу. Дроппер извлекает файлы cbrom.exe и hook.rom. Первый — это стандартная программа Phoenix Technologies для модификации бинарников Award/Phoenix BIOS ROM. Hook.rom — руткит, который добавляется к бинарнику. Дроппер запускает программу cbrom.exe с параметром /isa. Но до реального инфицирования ISA ROM, дроппер проверяет код BIOS ROM на присутствие маркера “hook rom”, чтобы не производить вторичное заражение.



    Дальше осуществляется заражение всех 14-ти секторов MBR и внедрение вредоносного кода в файл winlogon.exe или wininit.exe перед загрузкой Windows. Здесь тоже осуществляется проверка маркера инфицирования.



    via Webroot Threat Blog

    Комментарии 61

      +8
      В биосе выставление опции запрета прошивки спасет?
      • НЛО прилетело и опубликовало эту надпись здесь
          –6
          Надо подождать, сейчас придет кто нибудь, кто в теме и расскажет всё правду без желтизны.
            +6
            В чем желтизна по вашему этого топика?
              +19
              В alizar-е :)
                +4
                В китайцах.
                  –2
                  Так то это националистическое высказывание!
              +3
              Сколько нужно ждать, пока все не создавшие ни одного поста на Хабре перестанут срать в топиках Ализара?
                –4
                Ну я же не буду за вас все решать, подумай те сами сколько.
                  0
                  это хабработы, не обращайте не них внимания
                  0
                  Ну действительно есть такая дрянь. Технические детали не проверял.
                  +1
                  интересно что сохраняет оригинальный bios, может ли это быть для тех кто будет потом эту пакость чистить? )
                  если бы я знал что словил bios-руткит, я бы использовал прошивку с сайта производителя
                    0
                    Наверняка просит СМС и потом код. Если верный востановит сама.
                      0
                      Это для авторов вируса скорее всего. Им тоже надо зараженные компы иногда чистить.
                        +6
                        Бэкап биоса нужен, чтобы пропатчить его с помощью cbrom.exe (т.к. биосы у материнок разные), добавив код из hook.rom, чтобы потом уже пропатченый биос прошить в ПК. Так что по сути это и не бэкап вовсе.
                          0
                          А, this make sense
                            0
                            * makes :)
                        0
                        Со времен эпидемии CIH вроде-бы запрещено в биос что-то писать нет?
                          0
                          В Windows 2000 (а может и NT) появилось ограничение на запись из юзерспейса.
                          Плюс в некоторых BIOS можно запретить обновление вообще.
                            0
                            Да нет, а как же флешить тогда?
                              0
                              Из самого BIOS?
                                –3
                                Ну может лет через 5, ОС то нужно грузить с поддержкой USB storage по минимуму. А пока печалька
                              +2
                              Ну BIOS из-под винды ведь обновить можно? не?
                                0
                                Без понятия. Но я помню на материнки начали ставить специальные перемычки на мат. плату.
                                  0
                                  Хм, было дело — но э\я такую видел тока онид раз как раз лет 9-10 назад, сейчас таких нет, и все материнки давно комплектуются прогой, которая проверяет бивис в инете и если есть свежий, качает и шьет
                                  0
                                  Не совсем из-под винды. Да, инсталлятор толкается как обычный exe-шник под виндой, но прошивка происходит после ребута. ИМХО, инсталлятор одноразово переписывает загрузчик, и потом шьёт ещё до этапа выбора системы.
                                    0
                                    Не, недавно шился. Все прям из под 7ки происходит что на ASUS, что на Sony.
                                      0
                                      Ясно, просто в основном интелы на работе, они шьются именно так — с ребутом.
                                        0
                                        Таже фигня с Acer. Качаешь с сайта поддержки — шьётся и даже перезапуститься не просит, ЕМНИП.
                                        0
                                        Это на UEFI так, а обычный BIOS шьется прямо из под винды.
                                    0
                                    и не способен работать на учётных записях пользователей с ограниченными привилегиями.
                                    Не троллинга ради, но ведь это в 99% случаев ключевой момент.

                                    А статья интересная.
                                      +1
                                      > Не троллинга ради, но ведь это в 99% случаев ключевой момент.
                                      Думаете? 90% компьютеров в Китае до сих пор на Windows XP.
                                        0
                                        В большенстве случаев, простые смертные юзеры юзают дефолтную учетку, далее делайте выводы.
                                          +1
                                          Ну, существует множество остроумных способов повышения привелегий в операционных системах семейства NT :-) А некоторые из них прячутся в IE позволяя загрузить и выполнить произвольный код с правами администратора. А с прошивкой Award-ов тоже есть ряд интересных моментов, так-что самое надёжное ограничение записи джампер\перерезаная ножка…
                                          +1
                                          РЕШЕТО! (тм)
                                            0
                                            Китайцы осилили www.rom.by/article/Birus-y_Chast_pervaja?
                                              +2
                                              Из статьи не следует — что же вирус делает? Да, он прошивает биос, заражает библиотеки и исполняемые файлы, но делает-то он что?
                                                0
                                                А всё, что угодно. Хочешь — локер, хочешь — ботнет. Зная китайцев — скорее всего, второе.
                                                  0
                                                  заражает, потом умирает? Ж)
                                                  +3
                                                  О! Наконец-то нормальная зверушка появилась. А то всё зевсы да винлокеры.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                    0
                                                    Когда вышел Win7 RTM и утек сертификат Lenovo, было массовое помешательство с прошивкой BIOS с новым SLIC. Как-то доверяли источникам и брали готовые образы. Вот тогда думаю могли бы попать что называется своими руками.
                                                      +6
                                                      Нежизнеспособное поделие. И тому несколько причин:
                                                      1) Авард как биос сейчас применяется всё реже и реже.
                                                      2) Инфицирование дубовое — на авардах с базой исходников после гдето 2008 года работать не будет — там вырезана начисто поддержка isa boot rom.

                                                      Вообще механизм внесения вирусни в код биоса самый простой — желающие могут попробовать поискать про ROMOS — штука интересная (дос вшиваемый в любой биос, умеющий ISA/PCI Bootrom и содержащий около 40-60кб. свободного места). К томуже ROMOS более жизнеспособен, чем вышеописаная вирусня, т.к. умеет прикидываться pci boot rom-ом сетевушки (а у кого сейчас в рабочей машине нет сети? Да и по прямому назначению загрузка по сети юзается редко и в основном в крупных фирмах да и у энтузиастов тонких клиентов).

                                                      Собственно краткое описание, как эта зараза работает:
                                                      Во время прохождения POST тестирования (каждый раз при включении ПК) биос ищет дополнительные биосы плат расширения. В случае PCI BootRom осуществляется также поиск соответствующего по VID/DID ему устройства. А вот в случае ISA таковое не производится — такой дополнительный код распаковывается по жестко заданному адресу, который задан в расширении. (на практике 0xA0000-0xF0000 участок и то, свободен он в сегменте 0xD0000, в A-B лежит SMI, в E-F — код самого bios, а C занято видеокартой) Биос видеокарты по принципу хранения выглядит как ISA модуль, но распаковывается и инициализируется раньше.
                                                      После распаковки кода биос передает управление коду. На этом этапе вирусу становятся доступными первый и второй жесткие диски и флопповод. Другие устройства вирус может использовать только через прямую работу с их железом (что почти невозможно, т.к. либо код не влезет в свободное место в биосе, либо будет поддержка очень узкого круга оборудования).

                                                      Если комуто нужны подробности — читаем красивую книжку «BIOS. Дизассемблирование, модификация, программирование» Автор: Дармаван Салихан

                                                      В качестве proof of concept вполне сгодится, но по способу вирус опоздал на 10 лет.
                                                        +1
                                                        Да, ещё забыл про замечательный модуль MEMINIT, благодаря которому эта вирусня может начисто убить прошивку. Беда в том, что его нормально обрабатывают только несколько версий cbrom, да и то не везде.
                                                        0
                                                        В случае PCI BootRom осуществляется также поиск соответствующего по VID/DID ему устройства.

                                                        А вот с этого места можно поподробнее? Я когда-то писал биос экстеншен именно как PCI бутром, все прокатывало на ура. DID и VID нужны для корректного заполнения полей BAR и прочих регистров, но, как показал опыт, работет и с инвалидом. А в остальном да, согласен.
                                                          0
                                                          тут чуть больше технических подробностей
                                                            0
                                                            > руткит сохраняет копию BIOS в файле C:\bios.bin
                                                            Ну да, ну да, вот незаметненько так совсем. Хотя бы переменную %TEMP% горе-вирусописатели ещё не освоили. А вообще тренд нехороший, конечно. И вот ещё немножко подробностей от Симантека — вроде ссылки выше я не видел пока: BIOS Threat is Showing up Again
                                                              0
                                                              он вообще-то в ядре выполняется, делать больше не чего горе-вирусописателям чем переменные из юзерспейса дергать
                                                              +1
                                                              Да что там руткиты.
                                                              Вот реальная история с обычным Вормом и ноутом Toshiba A665
                                                              Мое письмо поддержке:

                                                              Здравствуйте.

                                                              Сегодня попытался скачать новую версию биос для ноутбука Satellite A665
                                                              Сайт поддержки:
                                                              ru.computers.toshiba-europe.com/innovation/download_bios.jsp?service=RU

                                                              Выдал ссылку на BIOS 2.10 от 09/09/11 и антивирус Касперского
                                                              утверждает, что внутри вирус Email-Worm.Win32.Runouce.b
                                                              Вот ссылка на файл на вашем сервере, в котором вирус:
                                                              support1.toshiba-tro.de/tedd-files2/0/bios-20110909104312.zip

                                                              В моем ноутбуке перегревается видеокарта при работе и я надеялся, что
                                                              новый bios поможет исправить это недоразумение и не вынудит меня
                                                              относить мой коимпьютер в сервис. Но пока я воздержался от запуска
                                                              этой программы установки. Пожалуйста, проясните ситуацию. Как удалить
                                                              вирус из архива с новой версии BIOS? (Kaspersky я только что обновил
                                                              до самой актуальной версии 2012, но все равно он находит этот вирус и
                                                              удаляет файл).

                                                              Заранее благодарен!
                                                              С уважением,
                                                              Антон

                                                              — официальный ответ:

                                                              — Здравствуйте,

                                                              Производитель не внедряет вирусы в свои драйверы.
                                                              Для установки BIOS отключите антивирус, так же желательно по максимуму отключить программы.
                                                              Ноутбук должен быть подключен к электросети.

                                                              С уважением,
                                                              Информационный Центр Toshiba,
                                                              отдел персональных компьютеров

                                                              E-mail: hotline@toshiba.ru | URL: www.toshiba.ru

                                                              Тел:

                                                              +7
                                                              (800)
                                                              100-05-05
                                                              (бесплатный для России)
                                                              Тел:

                                                              +7
                                                              (495)
                                                              983-05-05
                                                              (бесплатный для Москвы)
                                                              Факс:

                                                              +7
                                                              (495)
                                                              983-05-05

                                                              Тел:

                                                              0
                                                              (800)
                                                              50-35-00
                                                              (бесплатный для Украины)
                                                              Тел:
                                                              8
                                                              10
                                                              (800)
                                                              1000-05-05
                                                              (бесплатный для абонентов Казахтелеком в Казахстане)
                                                              Тел:
                                                              8
                                                              10
                                                              (800)
                                                              1000-05-05
                                                              (бесплатный для абонентов Белтелеком в Беларусии)
                                                              Тел:

                                                              00
                                                              (800)
                                                              1000-05-05
                                                              (бесплатный для абонентов Молдтелеком в Молдавии)

                                                              — Ну, антивирусы тоже ошибаются, подумал я.
                                                              Полагаете, что я наблюдал, отключив антивирус и «по максимуму все программы»?
                                                              Совершенно верно! Тотальное заражение компьютера. Убил сегодня весь день на восстановление компьютера. И вот сейчас проверяю еще раз по полной (еще пара часов и золотой ключик в кармане).

                                                              К слову сказать, это не вся история.

                                                              Было и еще одно письмо в саппорт, на которое ответа не получил.
                                                              — Спасибо за ответ.
                                                              Вот сейчас попробовал скачать еще раз этот архив по ссылке с сайта поддержки, но получил ответ 404 — File not found
                                                              Возможно, этот архив с биосом можно получить каким-то другим способом?
                                                              И теперь сам сайт поддержки пишет «Для выбранной модели обновлений BIOS не обнаружено»

                                                              Так что посоветуете сделать? У меня Satellite A665-12K перегревается и выключается. :(

                                                              Заранее благодарен,
                                                              Антон

                                                              — Ноут действительно перегревается от длительного использования видео и выключается сам. Продлеваю жизнь пока охлаждающей подставкой, но ее с собой неудобно носить, так что это не панацея.

                                                              Вообще, чем дальше, тем больше портится мое мнение о сервисе Тошибы в России.

                                                              Вот, а вы говорите — руткиты в биосе :) Вирусы в архивах с обновлениями биоса, вот реальность. :(

                                                              Хорошо, хоть гарантия у ноута долгая еще, доделаю проект и сдам его в ремонт, пусть охлаждение меняют на более производительное… или лечат как-то. Видео в дороге смотреть невозможно, 20 минут и комп вырубается без предупреждения.
                                                                0
                                                                Вот тебе и Тошиба…
                                                                  0
                                                                  у меня как-то тошиба была. обновления для ноута на их сайта искать… уж очень уж долго и нудно
                                                                  0
                                                                    0
                                                                    Спасибо! Я как раз сейчас искал. Только проблема в том, что у меня ноут серии PSAW3E, а этот биос для PSAW9E. У них разные процессоры, видеокарты и я опасаюсь ставить его на свой. Кстати. до этого вообще убрали обновления всех серий. Возможно, и для PSAW3E добавят скоро…
                                                                      0
                                                                      У канадцев есть
                                                                      ftp.toshiba.ca/support/download/ln_byModel.asp
                                                                      9/9/2011 PSAW3C 06F017 C Канада Е Европа?
                                                                      BIOS Update (Windows Installation) Windows 7 32bit, Windows 7 64bit 2.00

                                                                      Твой Toshiba Satellite A665-12K (PSAW3E-06R019RU)?
                                                                      Похоже, что он только кирилицей на клаве отличается и локализоавнной виндой.

                                                                      А, по хорошему, отнести бы его на сервис, не верю я что перегрев видяхи биосом лечится.
                                                                        0
                                                                        Спасибо. У меня уже установлен 2.0, то был новый биос 2.10 и 64-битный, конечно.
                                                                        Да, у меня A665-12K. Спасибо за совет. Отнесу, значит, в ближайшее время :(
                                                                          0
                                                                          Там 2.0 но от 9/9/2011. Твой тоже недельной свежести?
                                                                            0
                                                                            Хм. Нет. Мой примерно мартовский. Может, они вообще не совместимы?
                                                                            А ту версию с вирусом так и убрали с сайта, теперь для конкретно моего ноута биосов на сайте совсем нет :) ни старых, ни новых.
                                                                  0
                                                                  руткит сохраняет копию BIOS в файле C:\bios.bin
                                                                  Какой заботливый.

                                                                  Даже вирусы делают бэкапы!
                                                                    +1
                                                                    Тошиба! Тошиба! Качество хорошее.
                                                                    Тайвань

                                                                    внизу мелким шрифтом:
                                                                    сделано в Китае
                                                                      0
                                                                      Тошиба, конечно, японская фирма. И ноуты, произведенные в японии выше всяких похвал.
                                                                      У меня китайский. Видимо, в этом и причина всего :(
                                                                      Вопрос, кто их сайты с обновлениями поддерживает :) Немцы (судя по адресу)? :)
                                                                        0
                                                                        мда — японцы китайского происхождения, говорящие на немецком…

                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                    Самое читаемое