Второй троян, который прописывается в BIOS

В сентябре 2011 года одна из китайских антивирусных компаний обнаружила Mebromi (MyBios) — первый троян, который прописывается в BIOS (Award BIOS). При следующей загрузке BIOS уже добавляет дополнительный код к главной загрузочной записи (MBR) жёсткого диска, чтобы инфицировать winlogon.exe и winnt.exe процессы на Windows XP и 2000/2003 перед загрузкой системы, затем вредоносный код скачивает руткит для предотвращения очистки MBR антивирусным сканером. Но даже если жёсткий диск будет очищен, вся процедура инфицирования повторится при следующей загрузке BIOS. Троян способен уцелеть даже при смене жёсткого диска.

Сейчас появилась новая программа Niwa!mem, которая действует примерно таким же способом, переписывая MBR и помещая в системе библиотеку DLL, которая содержит cbrom.exe и поражает Award BIOS.

​

По мнению специалистов, новый троян Niwa!mem может быть написан теми же авторами, что и Mebromi, поскольку многие строки кода выглядят практически идентично.

С выходом второго экземпляра можно ожидать, что запись вредоносного кода в BIOS станет более обычным делом для вредоносных программ.

​

Дата: 11.06.2012
http://www.xakep.ru/post/58830/​

 

Хм. Опыт WinCIH так ничему никого толком не обучил. А ведь вся защита - 1 перемычка.

 

Если раньше при вирусах меняли винду, терь будут ещё и биос менять, лол.

 

да их много кто прописываеться почему второй? винлок тоже умельцы делали с биосом

 

Аворд биос стоит не на всех мамах, далеко не на всех.Так что херня.

 

Перемычки остались только на мамках для третего пня.

Award BIOS стоит практически на всех новых, дешевых мамках.

Второй, потому что концепты и чернобыль не в счет. Винлок дальше MBR ничего не заражает, если у тебя после заражения не работает в биосе клава, то подключи не USB клаву. Биос не поддерживает USB клаваы.

 

Создать универсальный вирус для биос не проблема для крутых кодеров, препятствие одно - нужно много задротов, которые раскопают все фирменные утилиты прошивки для распространенных моделей материнок и напишут свой модуль прошивки. И я больше чем уверен, что спецслужбы давно такого зверя имеют, так как людской ресурс у них есть.
Еще одна глобальная дыра, которую пока никто не начал юзать, это роутеры\нетплееры\насы и прочая ерунда на линуксе. 95% пользователей пароли на вход в морду не меняет, у многих устройств есть ssh и сервисные пользователи, о которых не догадываются даже большинство продвинутых юзеров. Залить модифицированную прошивку на него можно прямо с зараженного сайта. Но, опять же, требует серьезного задротства и наличие тестового оборудования.

 

Лол ? Может это аворд биос не поддерживает их, а вот АMI Bios спокойно их переваривает.

Доступ к моему роутеру так никто не сбрутил, но какие-то китайские ребята периодически его досили, может и не китайские, во всяком случае айпи оттуда.

 

Еще 2009-ом продавали прошивки с ддос ботами под роутеры, так что насчет никто ты погорячился.

 

Поражен ну и умелые люди, кто создавал

 

Это тоже заметил. Если оставить порт ssh стандартным, то идет очень сильный брут, иной раз напоминающий ДДОС, с кучи адресов. В итоге через проброс портов сделал все службы на портах по-порядку: http - 9000, ssh - 9001, морда торрента - 9002 и так далее. Брут прекратился сразу же.

Не видел, хотя и не исключаю, ибо эта дыра видна невооруженным глазом.