Идентифицирован первый вирус для BIOS

 Уже несколько антивирусных компаний сообщили об идентификации первого в истории вируса, способного модифицировать содержимое загрузочной микросхемы BIOS, используемой в большинстве современных компьютеров. Этот вирус, получивший название Trojan.Mebromi по классификации Symantec или Trojan.Bioskit.1 по классификации «Доктор Веб», способен менять не только содержимое BIOS, но и загрузочный сектор жесткого диска, что сильно затрудняет борьбу с этим вирусом. Несмотря на пугающие потенциальные возможности, сравнимые с нашумевшим в 90-е годы прошлого века вирусом CIH/Chernobyl, обнаруженная в «диком виде» версия имеет все черты экспериментальной разработки и на данный момент не считается очень опасной.

Модификация BIOS в вирусе выполняется с целью защитить модифицированные загрузочные секторы жесткого диска. Как выяснилось, на данный момент вирус Mebromi способен заражать только чипы BIOS марки Award, причем в состав вируса входят фирменные утилиты для программной перепрошивки BIOS, созданные компанией Phoenix, которая приобрела фирму Award еще в конце 1990-х годов. Если в ПК используется BIOS других марок, вирус записывает вредоносный код только в загрузочный сектор, защищая этот код за счет заражения таких ключевых системных процессов, как winlogon.exe и winnt.exe. За счет такого глубокого внедрения в систему вирус Mebromi является очень непростым противником для современных антивирусных решений.

По мнению ряда экспертов, Mebromi бросает серьезный вызов всем разработчиков антивирусов, поскольку столь экзотический способ распространения и заражения сильно затрудняет создание средств, способных полностью очистить компьютер от следов вируса. Так, загрузочный MBR-сектор можно восстановить программными средствами без загрузки операционной системы это уже отработанная технология. С другой стороны, очистка BIOS это уже гораздо более серьезная задача, в которой обязательно должны участвовать производители материнских плат. Дело в том, что малейшая ошибка в процедуре очистки BIOS может привести к полному выходу системы из строя система просто перестанет включаться и загружаться, а материнскую плату во многих случаях придется просто выкинуть.

Появление вируса Mebromi считается третьим случаем появления вируса, способного модифицировать BIOS, однако считается первым документированным случаем, когда подобный вирус обнаружен в «диком виде». Тем не менее, стоит обратить внимание, что упомянутый вирус CIH/Chernobyl, работавший в операционных системах Windows 95/98, тоже модифицировал BIOS, но делал это разрушительным образом при срабатывании «логической бомбы» уничтожалась информация на жестких дисках и содержимое перезаписываемой части BIOS. Вирус Mebromi в этом отношении выглядит «гуманнее» - он лишь использует модификацию BIOS, чтобы скрыть части своего кода в MBR-секторе от антивирусного сканирования. Также стоит упомянуть, что в 2007 году был опубликован экспериментальный вариант вируса IceLord, который теоретически мог менять содержимое BIOS, но никогда не встречался в реальных атаках, то есть в «диком виде».

Примечательно, что первые случаи обнаружения вируса Mebromi зафиксированы близко к первоисточнику CIH/Chernobyl в Китае (вирус CIH/Chernobyl был создан тайваньским студентом и нанес наибольший ущерб именно Китаю, за что его автор принес публичные извинения). Первыми документировали появление вируса Mebromi специалисты из китайской антивирусной компании Qihoo 360 из всех случаев заражения большинство зафиксировано именно в КНР.

По материалам сайтов The Register и блога компании Symantec.