Основы и защита компьютера от Trojan.Bioskit.1

Тема в разделе "Борьба с типовыми зловредами", создана пользователем iskander-k, 17 сен 2011.

  1. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    "Вирус в BIOS-е" или "BIOS-вирус") - вирус, который располагается в микросхеме Flash/EEPROM. Т.е. принципиальным отличием его есть тот факт, что он находится в постоянной памяти компьютера и удалить его без перешивки (обновления прошивки BIOS) нельзя. В дополнение ещё и то, что и обнаружить его тоже крайне сложно вплоть до вообще невозможно. В остальном (зловредные действия) бирусы ни чем не отличаются от различных вирусных программ типа троянов.

    Получив управление, бирус внедряется в BIOS (например, считав текущую прошивку и добавив в неё свой код) и перезагружает компьютер (либо пассивно ждёт, пока сам пользователь её осуществит). После очередной загрузки зловредный код становится совершенно невидим для любой работающей в операционной системе программы. Кроме того его код получает возможность одинаково работать в любой операционной системе – Windows, Linux, MAC OS и т.д.

    Что может BIOS-вирус?

    Он может заразить (получить управление и/или выполнить другие зловредные действия) любое приложение для любой операционной системы.
    Он может быть совершенно невидим - запретив возможность своего обнаружения.
    Он может быть совершенно неудаляем – запретив возможность обновления BIOS.
    Он может осуществлять зловредные действия в любое время и абсолютно прозрачно (т.е. его процесс активности нельзя заметить и остановить) в процессе работы компьютера.
    Он имеет доступ ко всем устройствам компьютера, обладая всеми возможностями ОС и даже больше.

    Можно ли защититься от заражения бирусом?
    Можно. Но сначала перечислим, что ему не помешает:

    Установки любых паролей в BIOS никак не защитит от бируса.
    Прошивка нового BIOS «на самом компьютере» - может не помочь избавиться от бируса. Это верно для перешивки как под DOS, так и под Windows (или другой OS).

    Реально защититься от биос-вируса можно лишь на старых компьютерах, у которых есть перемычка для защиты BIOS от перешивки. Обычно это компьютеры Pentium II и старше. :)
    Где доказательства, что бирусы вообще есть?
    Доказательства известны и работают ещё с 2002-года, они доступны для скачивания на главной странице www.ROM.by. Называется этот биос-вирус – BIOS Patcher. Характерный классический полуавтоматический представитель - это когда процесс прошивки происходит самим пользователем. Плюс, конечно, вместо зловредных он обладает исключительно полезными свойствами. Однако это не отменяет его природу. И тот факт, что вот уже столько лет он благополучно работает даже на самых ультрасовременных системах, которых близко не было при его разработке – ещё один показательный пример потенциала биос-вирусов.

    На многих материнских платах имеется джампер или переключатель, отвечающий за защиту BIOS от записи. Называться он может по-разному: BIOS Protect, BIOS Rewrite, иногда вместо переключателя вообще может использоваться пункт меню BIOS. Смысл такой защиты - не дать что-нибудь не то в BIOS случайно записать. Поищите намеки на такую защиту в документации к вашей материнской плате.
    Внимательно прочитайте информацию по вашей плате и, в случае наличия такой перемычки, переключите ее в режим запрета прошивки.

    Если в настройках есть функция защиты от записи BIOS (BIOS protect), обязательно включите ее.


    Добавлено через 17 минут 11 секунд
    Что такое BIOS

    BIOS и CMOS RAM

    Иногда пользователи путают BIOS и CMOS RAM системы. Причиной путаницы является то, что программа Setup BIOS используется для установки и хранения параметров конфигурации в CMOS RAM. Следует заметить, что это, фактически, совершенно разные компоненты. Обычно BIOS находится в отдельной микросхеме системной платы. Кроме того, на системной плате расположена так называемая микросхема RTC/NVRAM, содержащая в себе часы истинного времени и энергонезависимую память. По сути, эта микросхема представляет собой цифровой датчик времени с несколькими дополнительными байтами памяти. Обычно она называется CMOS-микросхемой, поскольку создана на основе комплементарных металло-оксидных полупроводников (complementary metal-oxide semiconductor — CMOS).

    При загрузке программы BIOS Setup и последующем конфигурировании/сохранении параметров жесткого диска или других устройств, установочные параметры системы записываются в соответствующую область памяти RTC/NVRAM (или, говоря иначе, CMOS RAM). При каждой загрузке системы для определения ее конфигурации проводится считывание параметров, хранящихся в микросхеме CMOS RAM. Несмотря на существование определенной связи между базовой системой ввода-вывода (BIOS) и CMOS RAM, это абсолютно разные компоненты.
    Системная BIOS

    Во всех системных платах есть микросхема, в которой записано программное обеспечение, называемое BIOS или ROM BIOS. Эта микросхема содержит стартовые программы и драйверы, необходимые для запуска системы и функционирования основного аппаратного обеспечения. В ней также содержится процедура POST (самотестирование при включении питания) и данные системной конфигурации. Все эти параметры записаны в CMOS-память, которая питается от батарейки, установленной на системной плате. Эту CMOS-память часто называют NVRAM (Non-Volatile RAM).

    Таким образом, BIOS представляет собой комплект программ, хранящихся в одной или нескольких микросхемах. Эти программы выполняются при запуске компьютера до загрузки операционной системы. BIOS в большинстве PC-совместимых компьютеров выполняет четыре основные функции.

    POST — самотестирование при включении питания процессора, памяти, набора микросхем системной логики, видеоадаптера, контроллеров диска, дисковода, клавиатуры и других жизненно важных компонентов системы. Программа установки параметров BIOS (Setup BIOS) — конфигурирование параметров системы. Эта программа запускается при нажатии определенной клавиши (или комбинации клавиш) во время выполнения процедуры POST. В старых компьютерах на базе процессоров 286 и 386 для запуска этой программы необходима специальная дискета. Загрузчик операционной системы — подпрограмма, выполняющая поиск действующего основного загрузочного сектора на дисковых устройствах. При обнаружении сектора, соответствующего определенному минимальному критерию (его сигнатура должна заканчиваться байтами 55AAh), выполняется код начальной загрузки. Эта программа загружает загрузочный сектор операционной системы, который, в свою очередь, загружает файлы ядра операционной системы. BIOS — набор драйверов, предназначенных для взаимодействия операционной системы и аппаратного обеспечения при загрузке системы. При запуске DOS или Windows в режиме защиты от сбоев используются драйверы устройств только из BIOS.
    Память EEPROM, или Flash ROM

    Это более новый тип памяти ROM — электронно-стираемая программируемая постоянная память. Данные микросхемы также называются Flash ROM, и их можно перепрограммировать, не снимая с платы, на которую они установлены, без специального оборудования. Используя Flash ROM, можно стирать и перепрограммировать ROM непосредственно на системной плате, не удаляя микросхему из системы и даже не открывая системного блока! Для перепрограммирования не требуется устройство стирания ультрафиолетовым облучением или какое-либо иное программирующее устройство.

    Использование Flash BIOS

    Начиная с 1996 года во всех компьютерах BIOS записывается в микросхему Flash ROM. Информацию в этой микросхеме можно стирать и перепрограммировать непосредственно в компьютере без специального оборудования. Для стирания и перепрограммирования старых микросхем PROM требовались специальный источник ультрафиолетового освещения и устройство программирования, а во Flash ROM данные могут быть удалены и перезаписаны даже без удаления их из системы.

    Использование Flash ROM дает возможность загрузить новую версию BIOS из Internet или, имея ее на дискете, загрузить в микросхему Flash ROM на системной плате без удаления и замены микросхемы. Обычно эти обновления загружаются с Web-сервера изготовителя; затем используется прилагаемая программа для создания самозагружаемой дискеты с новым образом BIOS. Важно выполнить эту процедуру, воспользовавшись дискетой с программой начальной загрузки, так как никакое другое программное обеспечение или драйверы не должны мешать модификации. Этот метод обновления позволяет сэкономить время и деньги как изготовителя системы, так и конечного пользователя.

    Иногда микросхема Flash ROM в системе защищена от записи; тогда, прежде чем приступить к модификации, вы должны отключить защиту. Обычно это делается с помощью переключателя, который управляет блокировкой модификации ROM. Без блокировки любая программа может перезаписывать ROM в вашей системе, а это опасно. Без защиты записи программы-вирусы могли бы записывать свои копии непосредственно в код ROM BIOS на вашем компьютере. Даже без физической защиты от записи современные BIOS в микросхемах Flash ROM имеют алгоритм защиты, который предотвращает несанкционированные модификации. Эту методику Intel использует на своих системных платах.

    Запуск программы Setup BIOS

    Для запуска этой программы необходимо во время загрузки системы нажать определенную клавишу или комбинацию клавиш. Ниже представлены клавиши запуска этой программы для BIOS различных производителей, которые необходимо нажимать во время выполнения процедуры POST.

    AMI BIOS - "Delete". Phoenix BIOS — "F2". Award BIOS — "Delete" или комбинация клавиш "Ctrl+Alt+Esc". Microid Research BIOS — "Esc"

    Если ни одна из этих клавиш не обеспечивает запуска программы Setup BIOS, посмотрите документацию к вашей системной плате или обратитесь к ее производителю.
     
    Последнее редактирование: 17 сен 2011
    Dragokas, Alex.M, TavapHяk и 13 другим нравится это.

Поделиться этой страницей