Rakshasa заменяет BIOS, но не оставляет следов на винчестере

Вирусы, атакующие BIOS компьютера, представляют особую группу вредоносного программного обеспечения. Джонатан Броссар, французский специалист компании Toucan System ведет речь о создании нового бэкдора Rakshasa, который может подменить BIOS и нарушить работу ОС.

При этом, он не оставляет следов на винчестере. Такое заявление Джонатан Броссар сделал в Америке на конференции Defcon. Rakshasa не оригинален по сравнению со своими собратьями, воздействующими на BIOS, но в нем применено несколько оригинальных трюков, которые не позволяют классическое обнаружение вредоносного кода, и, тем более, его удаление. Этот вирус самостоятельно инициирует аппаратную часть, тем самым заменяя функцию BIOS. Он также может проникать в периферийные устройства, что требует комплексного подхода к его обезвреживанию. Замена BIOS открытыми релизами SeaBIOS и BIOS Coreboot в соответствующей комбинации позволяет вирусу Rakshasa внедряться в большинство системных плат. При использовании некоторых сетевых плат, вирусу удается заменять компоненты iPXE, модифицируя, таким образом, загрузку станций или серверов из сети. Антивирусное программное обеспечение, которое использует ресурсы ОС, не в состоянии обнаружить Rakshasa, а сам вирус получит возможность анализировать трафик и перехватывать данные. При помощи кодов Coreboot создателям вируса под силу создать эмулятор приветственного экрана, который не вызовет никаких подозрений у пользователя на этапе загрузки. Учитывая то, что вирус заражает не только персональный компьютер, но и периферийные устройства, его обезвреживание требует также комплексного подхода и не под силу большинству пользователей.

Для многих это оборачивается необходимостью приобретения нового оборудования. Реальная возможность борьбы с вирусом остается, поскольку он заражает один из блоков хранения BIOS. Как известно, последние разработки материнских плат содержат два таких блока. Однако для выполнения работ по восстановлению оригинальной версии BIOS потребуются услуги высококвалифицированных специалистов. Одним из слабых мест аппаратной части, которым воспользовались разработчики вируса Rakshasa, является типовой подход к системным прошивкам узлов. Это обеспечивает незаметное внедрение вируса и модификацию прошивок узлов в большинстве систем. Компания Toucan System не намерена открыть доступ к Rakshasa для всех желающих, но будет предоставлять данные разработчикам периферии, для того, чтобы они смогли проанализировать уязвимость и изменить технологию системных прошивок. Компания также намерена работать над концепцией сетевого обновления вируса Rakshasa.



Опубликовал admin
1 Авг, Среда 2012г.



Программирование для чайников.