Новая рубрика - новости бирусостроения

Автор: apple_rom , 13 сентября 2011

Ваше имя

Содержимое данного поля является приватным и не предназначено для показа.

Домашняя страница

Comment

О текстовых форматах

BBCode

HTML-теги не обрабатываются и показываются как обычный текст
You may use the following BBCode tags:
- [align]
- [b]
- [code]
- [color]
- [font]
- [hr]
- [i]
- [img]
- [list]
- [quote]
- [s]
- [size]
- [spoiler]
- [sub]
- [sup]
- [table]
- [u]
- [url]
Адреса веб-страниц и email-адреса преобразовываются в ссылки автоматически.

Поправочка: Trojan.Bioskit.1 использует модуль ISA ROM.
Источник.

Если товарищи будут прогрессировать не хуже меня "тогда"

Так в новости и написано, что все "слизано" с icelord bioskit 2007.
У него там кроме SMI еще и Uniflash прикручен, захаживал видать сюда ;), а в бирус воткнули что покороче.

А это только Award-овская фича с прошивкой через SMI или у других есть аналогичные "сервисы"?

Цитата:

А это только Award-овская фича с прошивкой через SMI или у других есть аналогичные "сервисы"?

Попробуйте отгадать с одной попытки...

p.s. Подробности по работе Trojan.Bioskit.1:
Symantec - BIOS Threat is Showing up Again!
Mebromi: the first BIOS rootkit in the wild

Или это у меня горячечный бред на фоне температуры 38,2?

Я боюсь автор этой дряни знает или скоро узнает про всякие SLIC toolkit для прочих BIOS вендоров. :-( Или FLASHROM? У людей с феном и программатором кризис закончится.

Хотите информацию к размышлению Award нынче пользуется только фирма на букву G.

Compiller : "Award нынче пользуется только фирма на букву G."
Утверждение неверное .

А обычный антивирус поможет от этой заразы?

--------------------

мне плевать,что вы обо мне думаете,я не думаю о вас вообще (с)

Если "обычный" антивирус умеет пересобирать и перешивать биос - запросто.

"Обычный" антивирус в "боевом" состоянии может отловить дроппера (эвристикой или сигнатурным анализом). А может и не отловить...

до сих пор в эту чушь не верю , поймаю,будем думать ,а пока где у вирусняка процедура прошивки биос,, да еще настроить мост и флеху в прямой канал?

шейте под DOS-там всем бирусам-смерть придет

[off]

а пока где у вирусняка процедура прошивки биос,, да еще настроить мост и флеху в прямой канал?

Нда, с чтением у некоторых явно не сложилось :D.[/off]

О великий и ужасный Maco , а какое дело ОС до биоса, когда операционка уже загружена? прямо сейчас пишу вам держа в руках флеху 49lf004b, вынутую с кроватки.?

~~Мойте руки перед едой!~~
~~Уходя - гасите свет!~~
Вынимайте биос после загрузки ОС! И никакие бирусы вам не страшны!

[off]

а какое дело ОС до биоса, когда операционка уже загружена?

Если говорить о микросхеме, содержащей BIOS, то ОС обычно относится весьма наплевательски к отсутствию или наличию этой микросхемы.
Если же говорить о BIOS, как о ПО, то ОС и ПО, запущенное под этой ОС, спокойненько может пользоваться (а может и не пользоваться) сервисами, предоставляемыми BIOS.

.?

Добавьте уж все знаки препинания :D.

apple_rom
Еще один девиз - "Мойте руки вместо еды" ;).

Дальнейшее просвещение grin_78 отделено сюда.[/off]

Уважаемый ~~Фома~~ grin_78!
Ваше недоверие вполне объяснимо, ведь много легче убедиться "пощупав". Однако как известно: "Блаженны не видевшие и уверовавшие!" Поверьте на слово программистам из Symantec, NORMAN, Dr.Web и других антивирусных контор - они же (уже) видели, щупали и даже неоднократно препарировали.
Ваше представление о "катастрофической сложности прошивки BIOS" вполне вписывается в "общее представление". Однако вынужден вас разочаровать, о чём, собственно, писал ещё когда выкладывал исходники Uniflash, которые очень даже открыты и которые были в своё время улучшены как раз благодаря использованию подобным принципом прошивки, вместо действительно "катастрофически сложного" метода, используемого Rainbow (один из предыдущих авторов унифлеша).
Нельзя исключать, что китайские сотоварищи, сооружая свои айслордовские поделки, просто "правильно прочитали" этот способ (если верить сообщению kaboom, который говорит про использования в нём унифлеша), плоды трудов которых и заимствованы в Trojan.Bioskit.1.
Однако не это страшно, данный "недобирус" - детский сад, средняя группа. Проблемы начнутся при переходе в школу...

я так понимаю, что на данном витке развития(смежных отраслей) нас добровольно-принудительно гонят в ласковые и нежные руки AMT ;) (пока она, но только "пока", еще покрыта "мраком тайны", для массового ковырятельства)

Первые жертвы Trojan.Bioskit.1: Поймала вирус в интернете, dr.web определяет его Trojan.Bioskit.1, но удалить не может.
Отдельно стоит выделить цитату:

Вчера 21:35:28
Хочу Вас огорчить. В данное время этот вирус не поддается не одним методикам лечения и удаления!
Перепрошивка BIOS не даст совершенно не каких результатов, так как образ вируса сохранён на жестком диске компьютере, при перепрошивки bios, вирус перепрошьёт его заного!
В случае если после детектирования и лечения данной угрозы система вновь оказывается инфицированной Trojan.Bioskit.1, источником заражения инфицированный BIOS компьютера.
Запрос отправлен в департамент исследования и разработки, а так же в отдел вирусного мониторинга.
Запрос был отправлен с критическим рейтингом важности.
Пожалуйста, ожидайте ответа.

[off]

В данное время этот вирус не поддается не одним методикам лечения и удаления!

-->

В данное время этот вирус не поддается ни одним типовым методикам лечения и удаления для существующих антивирусов, применямых типовым пользователем!

[/off]

"Желудок у котенка - меньше наперстка, а сил ...." (С)

нет, ну однозначно монстр!!! наверно он шьет себя и в MBR загрузочного CDROMa ;)

PS: или речь всетаки о невозможном "абсолютно автоматическом" лечении ?

[off]

или речь всетаки о невозможном "абсолютно автоматическом" лечении ?

Что-то в этом роде - большая красная кнопка "Вылечить" :).[/off]

[off]...думаю таки можно его завалить... на другой машине под лайвой снять инфу с харда (дрвеб в файлах его сам замочит), главное не запускать ничего ессна, а то и под лайвой прошъёт. Винту восстановить полный объём и отирейзить, биос на программатор. А потом что-то думать по поводу WP для флешки... Хотя, современные компы сами шо-то в биос себе пишут и могут быть проблемы, я в этом не разбирался, но часто при перепрошивке на прогере вижу таблицу с описанием железа, а в свежей прошивке там пусто. Но для простого пользователя всё это невыполнимо ессна...[/off]

[off]

Винту восстановить полный объём и отирейзить, биос на программатор.

Kill 'em all and let god sort 'em out :D (c).

Хотя, современные компы

И не только современные :).[/off]

[off]

Kill 'em all and let god sort 'em out (c).

И не только современные

ну, не влезал в эти дела... но скоро видимо придётся осваиваться...[/off]

но скоро видимо придётся осваиваться...

Угу, еще через годик-два гарантированное лечение - только программатором. Для ремонтников и иже с ними возвращаются "благословенные" времена WinCIH95... Это такой типа юмор с оттенком не знаю чего...

Это такой типа юмор с оттенком не знаю чего...

...очень похоже на виток эволюции... не докатиться бы до вирусов проникающих в мозги, с учётом того шо интерфейсы компов жаждут "спаять" с нервной сетью ))

Учитывая объём современных SPI flash, а так-же развитые софтовые механизмы защиты от записи на уровне микропрограммы в флэшке....прибить грамотно написаного зверя можно будет только заменой микросхемы биоса на новую, зашитую на программаторе чистым бинарником :)

по поводу лечения, а что там было написано насчет запуска с ключом -u

с ключиком -u вылечит bios и mbr. удалит все isa roms (cbrom xxxx /isa release) и прошьет обратно в биос
только не факт что дрооппер останется у пользователя

Award

Добавить комментарий

Как сообщает доблестный сайт по борьбе с вирусами Dr.Web - Trojan.Bioskit.1 заражает BIOS компьютера. Господам и товарищам, яростно клеймивших ~~словоблудия~~ статьи о бирусах теперь будет сложнее.

Updated: Реальный первоисточник новости о данном бирусе - NORMAN.com.

Историческая справка по бирусам

Бирусы, или в девичестве фирусы - это вирус, который живёт в биосе (или может жить, или его часть, в т.ч. загрузочная).

Пяток лет назад появился небольшой опрос по мало кому, видимо, понятной тогда теме. Через некоторое время игры с SMM были закончены, а данная тема закрыта, дабы не выпускать ~~бирус~~ джина из ~~исходников~~ бутылки. После появился упомянутый цикл статей о бирусах.

Принцип действия Trojan.Bioskit.1

Не нужно преувеличивать "достижения" (речь о "биосной части") данного представителя "пионеров бирусоподелок", т.к. (судя по доступной информации из открытых источников) его возможности пока минимальны. Использование решения PCIROM+cbrom - это технология биоспатчера самых первых версий, которая примитивна, имеет много ограничений по использованию, но за то максимально понятна и при этом, главное, работает.

С другой стороны, использование процесса прошивки SMI_Flash - имеет "серьёзную заявку на будущее". Если товарищи будут прогрессировать не хуже меня "тогда" (а возможностей у них явно прибавилось за это время), то прогнозы по поводу второй части через годик-другой запросто воплотятся в нечто более серьёзное, чем эта "китайская копия" (во всех смыслах).

Подробности работы, не имея исходников бируса, описывать не берусь, многое указано по ссылке в начале (да и подливать керосинчику в костёр незачем), всё действительно примитивно. Считываем биос, пакуем себя сибиромом в модуль а-ля сетевая карта, добавляем в биос, ищем таблицу прошивки через SMM и... получаем бирус.