http://hitech.newsru.com/article/13sep2 … janbioskit
"Доктор Веб" отловил трояна, умеющего вносить изменения в BIOS материнской платы компьютера
Эксперты российской антивирусной компании "Доктор Веб" сообщают о новом вирусе, способном заразить BIOS материнской платы компьютера. Получить доступ,а тем более перезаписать микросхему с BIOS - задача нетривиальная. Кроме того, в будущем возможно появление более совершенных модификаций данной троянской программы либо вирусов, действующих по схожему алгоритму.
В остальном эта вредоносная программа, получившая название Trojan.Bioskit.1, представляет собой стандартный по функционалу троянец, заражающий MBR (загрузочную область диска) и пытающийся скачать из Сети дополнительный код.
Trojan.Bioskit.1 проверяет древо процессов на наличие запущенных процессов нескольких китайских антивирусов. В случае их отсутствия, троян создает прозрачное диалоговое окно, из которого осуществляется вызов его главной функции.
Затем происходит определение версии ОС. Если это Windows 2000 или более поздняя операционная система (за исключением Windows Vista), инициируется процесс заражения MBR и BIOS.
По мере исследования данной программы сотрудники антивирусной лаборатории "Доктор Веб" все сильнее убеждались в том, что им досталась экспериментальная разработка программы, которая, по всей видимости, случайно "утекла". На это, по мнению экспертов, указывает целый ряд фактов.
Например, наличие проверки параметров командной строки; использование сторонних утилит; отключенный код дезактивации вируса через 50 дней, а также ошибки в коде, выглядящие как описки.
Про "Чернобыль" все уже забыли?
Может и "забыли". Некоторые антивирусы, чтобы уменьшить размер своих баз повыкидывали из них сведения об "устаревших" вирусах. Теперь кое-что придётся возвращать назад.
Не думаю. Все нормальные антивирусы используют эвристику и поведенческий анализ. А поведенческая модель вируса, способного взаимодействовать с железом известна со времён "Чернобыля". Следовательно, ESS и NIS точно, и ещё десяток-другой адекватных антивирусов справятся с этим вирусом уже на уровне эврестического и/или поведенческого анализа.
Про "Чернобыль" все уже забыли?
это тенденция.выдавать старое за новое.
несколько лет назад с большим пафосом трубили про революционные опыты выращивания растений в невесомости, которые вощемто уже делались и были описаны в журнале Наука и Жизнь за семьдесят какойто год (лень ща лезть и рыться в подшивке) и со многими нынешними "достижениями" такая же байда, те же самые "революционные" 3Д кинотеатры в ссср еще в 50х-60х были.
так что и с компьютерными достижениями то же самое.кричат "революционное" а копнёшь - всё уже давно было.
Мне кажется что это актуально для биосов с функцией Uрdate, достаточно просто в настройках запретить обновляться. 
Выпускается очень много разных мат.плат с разным биосом, не думаю что этот вирус станет эпидемией (если конечно его не перепишут и/или унифицируют).
А мне вообще можно не бояться, у меня гигабайт с двумя биосами, один из которых непрошиваемый (:
Неперешиваемый. Совсем.
Они уже тогда делали неперешиваемые биосы? Круто, что я могу сказать (:
Если интересно, то у меня GA 870A-UD3
На уровне эвристики распознают зловредные элементы кода. Если есть что сказать по теме - лучше сказать, а не троллить (:
Trojan.Bioskit.1
Так это Вы тут троллите (:
Вам по пунктам?
Пожалуйста:
Не стоит говорить про "неперешиваемые биосы"
Биос прошивается на заводе один раз. Его (может быть) можно перешить каким-нибудь программатором, но доступ к его прошивке пользователю - а тем более вирусу - закрыт. Ни с дискетки, ни со специального диска, ни, тем более, из винды он не перешивается. Перешить (пользователю) можно второй биос, который специально для перепрошивки. Это должно быть понятно всем, кто не ставит целью цепляться к словам.
только если под "справятся" понимается возможность "мониторинга"
Речь идёт именно про обнаружение вируса и предотвращение вредоносной активности. Антивирусы уже много лет используются для этого, а не для лечения. Нет, они могут лечить некоторые файлы. Но у нормального антивируса до этого не должно доходить. В данном случае опять налицо цепляние к словам.
Вы бы лучше шли троллить в тему про пожирание оперативки, там это будет хотя-бы более адекватно выглядеть. Да и счётчик сообщений там будет работать (:
Тогда, получается, этот второй биос никогда не обновляется.
Совершенно верно.
Хм, скажет внимательный читатель - а что будет, если в главном биосе подлый Trojan.Bioskit.1 перешьёт ещё и бутблок.
Мяу, скажет более внимательный котяра, а как он его перешьёт, если к нему нет доступа?
Вы считаете нормальным, что вирус не может вылечить и лишь "предотвращает вредоносную активность". При чём достаточно избирательно, ведь если он не может полечить биос, а к компьютеру подключится новый диск, который тут же будет заражён - это по вашему нормально, просто надо быстренько поставить антивирус и снова будет счастие.
Сами-то читали, что написали? (:
16-09-2011 08:36:15
Просто ради интереса.
Кто создал специальную учётку, ради того, чтобы потроллить меня?
Можно узнать причину этой уверенности?
Есть такая фраза "иди в гугл учить матчасть"
Когда и как выполняется бекап резервного биоса в основной, какая микросхема за это отвечает и в каких случаях она срабатывает. Все эти данные приведены гигабайтом в сервисных гайдах. Сервисные гайды (нерусские, к сожалению) можно скачать.
Если что-то не понятно - могу объяснить.
Непонятно Ваше отношение к защите системы. Не важно, один компьютер, или сеть из стопицот машин, принцип один: предотвратить вторжение/заражение. Это дешевле, чем лечить заражённые компьютеры. Тем более, если сеть.
По-Вашему получается, что лучше неделю лечить простуду, чем предотвратить болезнь, надев тёплый шарф.
Винчестер заразится из биоса... Порадовало, честно (:
Ладно, допустим у нас есть инфицированный, но не мёртвый компьютер. Мы его, предположим, не ребутали ещё.
Мы подключили к нему системный винт на горячую. Ладно, SATA позволяет, лишь бы БП выдержал.
Я промолчу, что не знаю идиотов, которые додумаются подключать системный винт к другому компьютеру, даже не инфицированному.
Так вот, прежде чем ко мне попадёт неизвестный винчестер я всегда, повторяю, всегда проверяю его антивирусом на предмет инфекции. Аналогично, если мой винчестер возвращают мне. Это и есть шарф, которым любой человек доджен оборачиваться, выходя на холодную улицу в дождь.
Windows, установленная на другом винчестере - будет заражена.
Если биос повреждён, как может быть заражён винчестер? Как может неработающий биос выполнить обращение к жёсткому диску? Вы вообще знаете, что такое биос?
Читал. Перечитал ещё раз. Речь идёт о заражении биоса, но нигде не написано, как именно это происходит. Я делаю вывод (второй раз такой же) что вирус просто портит биос. Потому что знаком с феноменом, называемым "неверно прошитый биос" и просто не представляю себе, как можно вписать в биос вредоносный код и сохранить работоспособность.
В данное время этот вирус не поддается не одним методикам лечения и удаления!
полная фигня
1 перепрошиваем биос
2 грузимся с лив-сд и лечим винт
3 всё чисто.
Замечательно. Троянец, который умеет перешивать некоторые биосы, остальные портит.
Значит, мы можем найти идиота, который подключит свой системный винчестер к заражённому компьютеру.
Операционная система загрузится, антивирус вылечит файл.
Вопрос: останется ли жёсткий диск заражённым?
ИМХО, зависит от механизмов как вируса, так и антивируса. Скорее всего, нет, если даже ДрВеб умеет этот троян лечить.
Вопрос: как вылечить такой компьютер/систему? Как это могут реализовать антивирусные программы?
Ответ1: Мы можем информировать пользователя о заражении биоса и попросить пользователя перешить биос.
Ответ2: Мы можем скачать свежий биос с сайта производителя и перешить биос средствами антивируса. Это сложнее, и вряд ли кто-то из производителей антивирусов этим займётся.
Вопрос: следует ли мне (и Вам) с моим гигабайтом бояться вируса?
Думаю, нет, поскольку сигнатура этого вируса уже есть в антивирусных решениях, которыми я пользуюсь.
Я не буду цеплять свой системный винчестер к чужим компьютерам, для того у меня есть флешка и носимый винт.
И, наконец, я могу откатить биос на дефолтный в любой момент времени. Да или хотя бы просто перешить его (:
А никто мне не может сказать, прошиваемая-ли моя BIOS или нет? Про мати от EliteGroup в Интернете толком ничего нет. Модель ECS G31T-M7.
Tiger.711, привет 
Stepovanyi
Как это нет? Оо http://www.ecs.com.tw/ECSWebSite/Produc … 16&LanID=0
Биос обновляемый.
Stepovanyi
Как это нет? Оо http://www.ecs.com.tw/ECSWebSite/Produc … 16&LanID=0
Биос обновляемый.
Там поиск такой глючный, что увы ничего не нашел. А оказывается...
Обновляться ли или как отключить?
Stepovanyi
Мануал покурить.
На виавских чипсетах джампером биос защищался.
..
Цена вопроса ремонта тривиального биоса - 350 руб. Плюс минус в зависимости от сложности.
Tiger.711
Гиговский бивис пока ждет вируса скорее сам загнется, чем это сделает вирус. 
На последних платах правда ставят реально двойной биос и в принципе реально одним нажатием кнопки восстановить его.
Ранее под этим подразумевался маркетинг/пеар/пустышка и возможность восстановить биос с винчестера или съемного накопителя, без наличия реально второго биоса на плате.
RusDS
Там реально две микросхемы, одинаковые абсолютно.
Но вот кнопочкой восстановить биос возможности нет (в моей конкретно плате) за восстановление отвечает отдельная микросхема (:
Trojan.Bioskit.1
Я Вам не зря про сервис-гайд сказал. Откройте, там всё написано. По человеческой логике, она должна быть рядом с биосами. У меня сейчас его под рукой нет.
Gigabyte GA-MA790X-UD3P прищлось около года назад восстанавливать изувеченый биос используя именно DualBIOS. Восстановил.
Я ж тогда ещё не знал, что
"не помогла" (именно) их "фирменная технология" (Dual BIOS)
Теперь буду знать и не стану даже пытаться.
DIXI
зашейте себе биос от "похожей" платы
Порадовал совет (:
Trojan.Bioskit.1
Вот здесь, например, люди пишут, что таких вирусов не бывает, потому что их создание не имеет смысла. Если не сложно, прокомментируйте пожалуйста.
Вот здесь, например, люди пишут, что таких вирусов не бывает, потому что их создание не имеет смысла. Если не сложно, прокомментируйте пожалуйста.
бутовых вирусов дофига вощемто.
смысл создания сейчас - более тонкое внедрение руткитов для шпионажа.
для создания ботнета,рассылки спама и прочего действительно нет смысла так изгаляться,а вот штучной работы под конкретный заказ за хорошую цену то почему бы и нет?
а тема про то что мол защищенный режим и всё такое уже давно неактуальна,способов это обойти куча.
один из вариантов
детектим тип ОС либо при заражении либо если вирус в биосе то при загрузке - если активная партиция фат или нтфс
то имеем дело с виндой если никсовая(их несколько видов но немного) то с никсами
далее выбираем нужный вариант трояна или руткита который прописываем в загрузку ОС на уровне файловой системы
что тоже не особо сложно далее стартуем ОС.
Антивирусы как было написано в ссылке обходим через драйвера
или если это никсы то подменяем какой нибудь системный файл на затрояненный
все эти файлы можно сделать совсем маленькими с минимумом функций то бишь поставить задачу ломануться на конкретные адреса и докачать остальное.
Trojan.Bioskit.1
Вот здесь, например, люди пишут, что таких вирусов не бывает, потому что их создание не имеет смысла. Если не сложно, прокомментируйте пожалуйста.
Касается и ![[linux]](img/browsers/linux.png "linux")
-пользователей. Они думают, если через sudo ничего не запускать "такого", то Linux полностью неуязвимая ОС 
Касается и
Странное дело... Нашего Ваню вроде бы прилюдно имели по поводу полнейшего отсутствия знаний:
http://forum.mozilla-russia.org/viewtopic.php?id=51326
... Ан нет... неймётся...