Infekcje BIOS-u: ostatnia granica pokonana?

We wrześniu byliśmy świadkami wydarzeń, które mogą mieć ogromny wpływ na przyszły rozwój szkodliwych programów oraz technologii antywirusowych, w tym m.in. odkrycie przez ekspertów z kilku firm antywirusowych nowego trojana zdolnego do infekowania BIOS-u.

Uruchamiając się z BIOS-u zaraz po włączeniu komputera, szkodliwy program może przejąć kontrolę nad wszystkimi etapami rozruchu PC-ta lub systemu operacyjnego. Wcześniej nie słyszano o przypadkach wstrzykiwania szkodliwego kodu na tym etapie. W 1998 roku krążył wirus CIH (znany również jako „Czarnobyl”), który przeprogramowywał BIOS. Jednak, wszystko do czego był zdolny, to uszkodzenie BIOS-u w sposób uniemożliwiający uruchomienie komputera. Warto pamiętać, że CIH nie mógł on przejąć kontroli nad systemem operacyjnym.

Oczywistym jest, że taka infekcja znajduje się to w kręgu zainteresowań twórców szkodliwych programów, chociaż proces jest pełen zawiłości. Głównym wyzwaniem jest niestandardowy format BIOS-u: autor szkodliwego programu musi mieć na względzie wszystkich producentów BIOS-u i zrozumieć algorytmy oprogramowania znajdującego się w pamięci ROM. Rootkit wykryty we wrześniu został zaprojektowany do infekowania BIOS-u wyprodukowanego przez firmę Award i prawdopodobnie powstał w Chinach. Kod trojana jest niedokończony, ale zweryfikowaliśmy jego funkcjonalność i okazuje się, że działa.

Rootkit posiada dwie podstawowe funkcje, które wykryto w kodzie uruchamianym z głównego rekordu rozruchowego (MBR - Master Boot Rekord). Jedynym zadaniem kodu wstrzykiwanego do BIOS-u jest upewnienie się, że zainfekowana kopia zapasowa znajduje się w głównym rekordzie rozruchowym, oraz zainicjowanie infekcji, jeżeli nie miała ona miejsca. Zainfekowany rekord MBR i odpowiadające mu sektory znajdują się w tym samym module ISA ROM i dlatego, gdy pojawią się jakiekolwiek niezgodności, główny rekord rozruchowy może zostać ponownie zainfekowany bezpośrednio z BIOS-u. Zwiększa to znacznie prawdopodobieństwo, że komputer pozostanie zainfekowany nawet wtedy, gdy główny rekord rozruchowy zostanie wyleczony. Technologie Kaspersky Lab z powodzeniem wykrywają infekcje spowodowane przez nowego rootkita. Pozostaje pytanie, czy zainfekowany BIOS może zostać wyleczony, ale to będzie jasne, gdy pojawi się więcej szkodliwych programów z podobnymi funkcjami. Aktualnie możemy stwierdzić, że Rootkit.Win32.Mybios.a jest jedynie kodem typu „proof of concept”, mającym na celu udowodnienie możliwości napisania programu i nie jest przeznaczony do masowej dystrybucji.

Ataki skierowane przeciwko indywidualnym użytkownikom
Zamknięcie botneta Hlux/Kelihos

Wrzesień był miesiącem wielkiego przełomu w walce z sieciami zainfekowanych komputerów zamknięto botnet Hlux (znany także jako Kelihos). Współpraca między firmami Kaspersky Lab, Microsoft i Kyrus Tech doprowadziła nie tylko do przejęcia sieci maszyn zainfekowanych Hluxem (jest to precedens – nigdy wcześniej nie udało się przejąć botnetu o architekturze P2P), ale także do zamknięcia całej domeny cz.cc. Przez cały 2011 rok domena ta była siedliskiem różnych zagrożeń: fałszywych programów antywirusowych (także na system operacyjny Mac OS X), backdoorów i oprogramowania spyware. Domena ta pełniła również funkcję hosta dla centrów kierowania tuzinami botnetów.

Spadek w liczbie szkodliwych stron w domenie cz.cc (źródło: Kaspersky Security Network)

Kliknij aby powiększyć