Полезная информация

Хотите узнать больше о расширениях? Посмотрите ролики, рассказывающие о работе с расширениями Firefox.

№113-09-2011 23:05:08

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 7.0

"Доктор Веб" отловил BIOS-троян

http://hitech.newsru.com/article/13sep2 … janbioskit

"Доктор Веб" отловил трояна, умеющего вносить изменения в BIOS материнской платы компьютера

Эксперты российской антивирусной компании "Доктор Веб" сообщают о новом вирусе, способном заразить BIOS материнской платы компьютера. Получить доступ,а тем более перезаписать микросхему с BIOS - задача нетривиальная. Кроме того, в будущем возможно появление более совершенных модификаций данной троянской программы либо вирусов, действующих по схожему алгоритму.

В остальном эта вредоносная программа, получившая название Trojan.Bioskit.1, представляет собой стандартный по функционалу троянец, заражающий MBR (загрузочную область диска) и пытающийся скачать из Сети дополнительный код.

Trojan.Bioskit.1 проверяет древо процессов на наличие запущенных процессов нескольких китайских антивирусов. В случае их отсутствия, троян создает прозрачное диалоговое окно, из которого осуществляется вызов его главной функции.

Затем происходит определение версии ОС. Если это Windows 2000 или более поздняя операционная система (за исключением Windows Vista), инициируется процесс заражения MBR и BIOS.

По мере исследования данной программы сотрудники антивирусной лаборатории "Доктор Веб" все сильнее убеждались в том, что им досталась экспериментальная разработка программы, которая, по всей видимости, случайно "утекла". На это, по мнению экспертов, указывает целый ряд фактов.

Например, наличие проверки параметров командной строки; использование сторонних утилит; отключенный код дезактивации вируса через 50 дней, а также ошибки в коде, выглядящие как описки.


May the FOSS be with you!

Отсутствует

 

№213-09-2011 23:11:06

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Про "Чернобыль" все уже забыли?


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№313-09-2011 23:14:53

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 7.0

Re: "Доктор Веб" отловил BIOS-троян

Может и "забыли". Некоторые антивирусы, чтобы уменьшить размер своих баз повыкидывали из них сведения об "устаревших" вирусах. Теперь кое-что придётся возвращать назад.


May the FOSS be with you!

Отсутствует

 

№413-09-2011 23:16:59

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Не думаю. Все нормальные антивирусы используют эвристику и поведенческий анализ. А поведенческая модель вируса, способного взаимодействовать с железом известна со времён "Чернобыля". Следовательно, ESS и NIS точно, и ещё десяток-другой адекватных антивирусов справятся с этим вирусом уже на уровне эврестического и/или поведенческого анализа.


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№514-09-2011 00:10:34

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: "Доктор Веб" отловил BIOS-троян

Tiger.711 пишет

Про "Чернобыль" все уже забыли?

это тенденция.выдавать старое за новое.
несколько лет назад с большим пафосом трубили про революционные опыты выращивания растений в невесомости, которые вощемто уже делались и были описаны в журнале Наука и Жизнь за семьдесят какойто год (лень ща лезть и рыться в подшивке) и со многими нынешними "достижениями" такая же байда, те же самые "революционные" 3Д кинотеатры в ссср еще в 50х-60х были.
так что и с компьютерными достижениями то же самое.кричат "революционное" а копнёшь - всё уже давно было.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№614-09-2011 09:26:40

kiko-pro
On air
 
Группа: Members
Откуда: about:home
Зарегистрирован: 14-12-2008
Сообщений: 419
UA: Firefox 7.0

Re: "Доктор Веб" отловил BIOS-троян

Мне кажется что это актуально для биосов с функцией Uрdate, достаточно просто в настройках запретить обновляться. :blush:
Выпускается очень много разных мат.плат с разным биосом, не думаю что этот вирус станет эпидемией (если конечно его не перепишут и/или унифицируют).


Все написанное мной-не верно, впрочем, верно и обратное.

Отсутствует

 

№714-09-2011 11:20:12

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

А мне вообще можно не бояться, у меня гигабайт с двумя биосами, один из которых непрошиваемый (:


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№815-09-2011 19:34:58

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Неперешиваемый. Совсем.


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№915-09-2011 19:41:09

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Они уже тогда делали неперешиваемые биосы? Круто, что я могу сказать (:
Если интересно, то у меня GA 870A-UD3


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№1015-09-2011 19:55:07

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

На уровне эвристики распознают зловредные элементы кода. Если есть что сказать по теме - лучше сказать, а не троллить (:


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№1115-09-2011 20:30:57

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Trojan.Bioskit.1
Так это Вы тут троллите (:

Вам по пунктам?
Пожалуйста:

Trojan.Bioskit.1 пишет

Не стоит говорить про "неперешиваемые биосы"

Биос прошивается на заводе один раз. Его (может быть) можно перешить каким-нибудь программатором, но доступ к его прошивке пользователю - а тем более вирусу - закрыт. Ни с дискетки, ни со специального диска, ни, тем более, из винды он не перешивается. Перешить (пользователю) можно второй биос, который специально для перепрошивки. Это должно быть понятно всем, кто не ставит целью цепляться к словам.

Trojan.Bioskit.1 пишет

только если под "справятся" понимается возможность "мониторинга"

Речь идёт именно про обнаружение вируса и предотвращение вредоносной активности. Антивирусы уже много лет используются для этого, а не для лечения. Нет, они могут лечить некоторые файлы. Но у нормального антивируса до этого не должно доходить. В данном случае опять налицо цепляние к словам.

Вы бы лучше шли троллить в тему про пожирание оперативки, там это будет хотя-бы более адекватно выглядеть. Да и счётчик сообщений там будет работать (:


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№1216-09-2011 08:34:21

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Trojan.Bioskit.1 пишет

Тогда, получается, этот второй биос никогда не обновляется.

Совершенно верно.

Trojan.Bioskit.1 пишет

Хм, скажет внимательный читатель - а что будет, если в главном биосе подлый Trojan.Bioskit.1 перешьёт ещё и бутблок.

Мяу, скажет более внимательный котяра, а как он его перешьёт, если к нему нет доступа?

Trojan.Bioskit.1 пишет

Вы считаете нормальным, что вирус не может вылечить и лишь "предотвращает вредоносную активность". При чём достаточно избирательно, ведь если он не может полечить биос, а к компьютеру подключится новый диск, который тут же будет заражён - это по вашему нормально, просто надо быстренько поставить антивирус и снова будет счастие.

Сами-то читали, что написали? (:

Добавлено 16-09-2011 08:36:15
Просто ради интереса.
Кто создал специальную учётку, ради того, чтобы потроллить меня?

Отредактировано Tiger.711 (16-09-2011 08:36:15)


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№1316-09-2011 10:08:39

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Trojan.Bioskit.1 пишет

Можно узнать причину этой уверенности?

Есть такая фраза "иди в гугл учить матчасть"
Когда и как выполняется бекап резервного биоса в основной, какая микросхема за это отвечает и в каких случаях она срабатывает. Все эти данные приведены гигабайтом в сервисных гайдах. Сервисные гайды (нерусские, к сожалению) можно скачать.

Trojan.Bioskit.1 пишет

Если что-то не понятно - могу объяснить.

Непонятно Ваше отношение к защите системы. Не важно, один компьютер, или сеть из стопицот машин, принцип один: предотвратить вторжение/заражение. Это дешевле, чем лечить заражённые компьютеры. Тем более, если сеть.
По-Вашему получается, что лучше неделю лечить простуду, чем предотвратить болезнь, надев тёплый шарф.


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№1416-09-2011 10:30:04

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Винчестер заразится из биоса... Порадовало, честно (:
Ладно, допустим у нас есть инфицированный, но не мёртвый компьютер. Мы его, предположим, не ребутали ещё.
Мы подключили к нему системный винт на горячую. Ладно, SATA позволяет, лишь бы БП выдержал.
Я промолчу, что не знаю идиотов, которые додумаются подключать системный винт к другому компьютеру, даже не инфицированному.
Так вот, прежде чем ко мне попадёт неизвестный винчестер я всегда, повторяю, всегда проверяю его антивирусом на предмет инфекции. Аналогично, если мой винчестер возвращают мне. Это и есть шарф, которым любой человек доджен оборачиваться, выходя на холодную улицу в дождь.


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№1516-09-2011 10:48:54

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Trojan.Bioskit.1 пишет

Windows, установленная на другом винчестере - будет заражена.

Если биос повреждён, как может быть заражён винчестер? Как может неработающий биос выполнить обращение к жёсткому диску? Вы вообще знаете, что такое биос?


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№1616-09-2011 11:27:03

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Читал. Перечитал ещё раз. Речь идёт о заражении биоса, но нигде не написано, как именно это происходит. Я делаю вывод (второй раз такой же) что вирус просто портит биос. Потому что знаком с феноменом, называемым "неверно прошитый биос" и просто не представляю себе, как можно вписать в биос вредоносный код и сохранить работоспособность.


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№1716-09-2011 13:19:52

okkamas_knife
We are the Borg.       Resistance is futile.
 
Группа: Members
Зарегистрирован: 21-10-2009
Сообщений: 9558
UA: Firefox 3.6

Re: "Доктор Веб" отловил BIOS-троян

Trojan.Bioskit.1 пишет

В данное время этот вирус не поддается не одним методикам лечения и удаления!

полная фигня
1 перепрошиваем биос
2 грузимся с лив-сд и лечим винт
3 всё чисто.


я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3

Отсутствует

 

№1816-09-2011 13:25:07

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Замечательно. Троянец, который умеет перешивать некоторые биосы, остальные портит.
Значит, мы можем найти идиота, который подключит свой системный винчестер к заражённому компьютеру.
Операционная система загрузится, антивирус вылечит файл.

Вопрос: останется ли жёсткий диск заражённым?
ИМХО, зависит от механизмов как вируса, так и антивируса. Скорее всего, нет, если даже ДрВеб умеет этот троян лечить.

Вопрос: как вылечить такой компьютер/систему? Как это могут реализовать антивирусные программы?
Ответ1: Мы можем информировать пользователя о заражении биоса и попросить пользователя перешить биос.
Ответ2: Мы можем скачать свежий биос с сайта производителя и перешить биос средствами антивируса. Это сложнее, и вряд ли кто-то из производителей антивирусов этим займётся.

Вопрос: следует ли мне (и Вам) с моим гигабайтом бояться вируса?
Думаю, нет, поскольку сигнатура этого вируса уже есть в антивирусных решениях, которыми я пользуюсь.
Я не буду цеплять свой системный винчестер к чужим компьютерам, для того у меня есть флешка и носимый винт.
И, наконец, я могу откатить биос на дефолтный в любой момент времени. Да или хотя бы просто перешить его (:


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№1916-09-2011 21:50:16

firespace
 
 
Группа: Extensions
Зарегистрирован: 26-01-2011
Сообщений: 609
UA: Firefox 5.0

Re: "Доктор Веб" отловил BIOS-троян

А никто мне не может сказать, прошиваемая-ли моя BIOS или нет? Про мати от EliteGroup в Интернете толком ничего нет. Модель ECS G31T-M7.
Tiger.711, привет :)

Отсутствует

 

№2016-09-2011 21:54:29

Зайчик Ben
Участник
 
Группа: Members
Откуда: Мурманск
Зарегистрирован: 25-11-2005
Сообщений: 1414
UA: Aurora 8.0

Re: "Доктор Веб" отловил BIOS-троян

Stepovanyi
Как это нет? Оо http://www.ecs.com.tw/ECSWebSite/Produc … 16&LanID=0
Биос обновляемый.

Отредактировано Зайчик Ben (16-09-2011 21:58:09)


Вчера ночью мне снилось, что я бабочка. Проснувшись, я обнаружил, что я человек. Кто я - бабочка, которой снится, что она человек или человек, которому снится, что он бабочка?
Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.8) Gecko/20051111 Firefox/1.5

Отсутствует

 

№2116-09-2011 22:02:12

firespace
 
 
Группа: Extensions
Зарегистрирован: 26-01-2011
Сообщений: 609
UA: Firefox 5.0

Re: "Доктор Веб" отловил BIOS-троян

Зайчик Ben пишет

Stepovanyi
Как это нет? Оо http://www.ecs.com.tw/ECSWebSite/Produc … 16&LanID=0
Биос обновляемый.

Там поиск такой глючный, что увы ничего не нашел. А оказывается...
Обновляться ли или как отключить?

Отредактировано Stepovanyi (16-09-2011 22:06:33)

Отсутствует

 

№2217-09-2011 12:23:09

RusDS
Diz
 
Группа: Members
Зарегистрирован: 06-12-2010
Сообщений: 744
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Stepovanyi
Мануал покурить.
На виавских чипсетах джампером биос защищался.
..
Цена вопроса ремонта тривиального биоса - 350 руб. Плюс минус в зависимости от сложности.

Tiger.711
Гиговский бивис пока ждет вируса скорее сам загнется, чем это сделает вирус. :D
На последних платах правда ставят реально двойной биос и в принципе реально одним нажатием кнопки восстановить его.
Ранее под этим подразумевался маркетинг/пеар/пустышка и возможность восстановить биос с винчестера или съемного накопителя, без наличия реально второго биоса на плате.


Пишите письма мелким почерком. 
использую Мастхав addоны:  тут

Отсутствует

 

№2317-09-2011 12:34:19

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

RusDS
Там реально две микросхемы, одинаковые абсолютно.
Но вот кнопочкой восстановить биос возможности нет (в моей конкретно плате) за восстановление отвечает отдельная микросхема (:


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№2417-09-2011 14:59:36

Tiger.711
‌
 
Группа: Extensions
Откуда: из Лесу
Зарегистрирован: 30-07-2010
Сообщений: 7975
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Trojan.Bioskit.1
Я Вам не зря про сервис-гайд сказал. Откройте, там всё написано. По человеческой логике, она должна быть рядом с биосами. У меня сейчас его под рукой нет.


Большой кот... Пуфыстый... Полосатый... Зубастый (:

Отсутствует

 

№2517-09-2011 15:39:52

=Agasfer=
linux user #526929
 
Группа: Extensions
Откуда: /home
Зарегистрирован: 06-11-2008
Сообщений: 6578
UA: Nightly 9.0

Re: "Доктор Веб" отловил BIOS-троян

Gigabyte GA-MA790X-UD3P прищлось около года назад восстанавливать изувеченый биос используя именно DualBIOS. Восстановил.
Я ж тогда ещё не знал, что

Trojan.Bioskit.1 пишет

"не помогла" (именно) их "фирменная технология" (Dual BIOS)

Теперь буду знать и не стану даже пытаться.
DIXI


Arch Linux & xmonad

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]