Dr. Web: появилась новая троянская программа, способная заразить BIOS
Trojan.Bioskit.1 – название новой вредоносной программы, попавшей в руки экспертов компании Dr. Web, по сути являющейся стандартным по функционалу троянцем, заражающим MBR и делающим попытки скачивать что-то из сети. Кроме того, оказалось, что в вирус заложены механизмы, способные заразить BIOS материнской платы компьютера.
В процессе исследования было выяснено, что данная программа является экспериментальной разработкой, о чем свидетельствует ряд фактов. Во-первых, наличие проверки параметров командной строки, из которой может быть запущен троянец с различными ключами: -d, который не функционирует, -w, заражение системы и -u, лечение системы (включая загрузочную часть диска и BIOS). При этом второй ключ используется по умолчанию. Однако перед проверкой состояния командной строки дроппер вируса проверяет наличие в системе процессов нескольких китайских вирусов, и в случае, если они есть, троянцем создается прозрачное диалоговое окно, из которого вызывается его главная функция. После этого троянец определяет версию ОС и продолжает заражение, если это Windows 2000 и выше (кроме Vista). Во-вторых, использование вирусом сторонних утилит. В-третьих, наличие двух различных вариантов заражения операционной системы. В-четвертых, присутствие ошибок в коде, которые выглядят скорее как описки.
В ходе своей работы Trojan.Bioskit.1 сначала пытается запустить драйвер bios.sys, если не удается это сделать или BIOS компьютера не является продуктом Award (в компании Dr. Web говорят, что только материнские платы, оборудованные BIOS от компании Award могут подвергнуться заражению), приступает к заражению загрузочной области диска.
Следует отметить, что данная вредоносная программа выделяется из ряда подобных троянцев, заражающих MBR, именно наличием драйвера bios.sys, который, несмотря на свои небольшие размеры, пугает своими деструктивными возможностями. В нем сразу реализовано три метода заражения: опознать Award BIOS, сохранить образ BIOS в файл bios.bin и записать образ BIOS в файл bios.bin.
Однако, не стоит думать, что наличие в системе Award BIOS сразу гарантирует заражение этой вредоносной программой. В вирусной лаборатории Dr. Web проверили три материнские платы, из которых удалось заразить только одну, тогда как в двух других банально не хватило места в памяти BIOS для записи нового модуля.