Вирусы теперь могут проникать в BIOS

Любые обсуждения, не нарушающие правил форума.

Модератор: Модераторы

Вирусы теперь могут проникать в BIOS

Сообщение EmeraldMan » 25.03.2009 00:43:04

Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста, Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы для удаленного управления, или руткита (rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.

Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена.

Еще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимается мониторингом IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена DDoS-атака (Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».

Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.

После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.

Подробное описание ботнета и червя «psyb0t» можно найти в блоге DroneBL.

По материалам zdnet.com и theregister.co.uk.

http://soft.mail.ru/pressrl_page.php?id=33120 - адрес статьи.

У меня дома как раз роутер стоит...

Кто что думает? Реальная угроза?
Аватара пользователя
EmeraldMan
постоялец
 
Сообщения: 149
Зарегистрирован: 16.10.2008 08:41:51
Откуда: Белгород

Re: Вирусы теперь могут проникать в BIOS

Сообщение Logo » 25.03.2009 01:16:55

EmeraldMan писал(а):Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине,

Ну и подготовить вирус для конкретной материнки и версии биоса. Тоесть, проблема локальная.
последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена.

Смотря какая организация биос, это актуально для конкретных материнок.

Короче, проблему скидывать со счетов нельзя, но и паниковать нет смысла. Могут использовать для дискредитации конкретного производителя оборудования.
Logo
постоялец
 
Сообщения: 464
Зарегистрирован: 20.08.2008 01:00:47

Re: Вирусы теперь могут проникать в BIOS

Сообщение ev » 25.03.2009 09:32:00

Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине

а в чем новость? что биос можно перепрошить локально? так это уже много лет можно
хорошо хоть, что для заражения, не надо работать в компании производящий материнки :lol:

Механизм заражения «psyb0t» оказался довольно необычным.

все довольно обычно - по такой схеме давно заражаются сервера
просто не стоит наружу вешать порты с доступом по дефолтовым паролям ;)
народ думает купил роутер и можно успокоиться... а надо бы еще его настройки глянуть, да исправить безалаберность производителя :roll:
ev
долгожитель
 
Сообщения: 1772
Зарегистрирован: 27.04.2005 23:19:06
Откуда: Москва

Re: Вирусы теперь могут проникать в BIOS

Сообщение EmeraldMan » 25.03.2009 12:59:03

даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена.

Просто интересно как такое может быть? Откуда вирус возьмется после таких глобальных действий?
Аватара пользователя
EmeraldMan
постоялец
 
Сообщения: 149
Зарегистрирован: 16.10.2008 08:41:51
Откуда: Белгород

Re: Вирусы теперь могут проникать в BIOS

Сообщение Logo » 25.03.2009 13:50:47

Ну, с диском понятно, - вирус сидит в ПЗУ биоса, а в биосе видимо нашли метод модификации статической области, той, что не прошивается стандартными утилитами.
Logo
постоялец
 
Сообщения: 464
Зарегистрирован: 20.08.2008 01:00:47

Re: Вирусы теперь могут проникать в BIOS

Сообщение B4rr4cuda » 25.03.2009 18:14:49

Последнее время на матерях устанавливают две ПЗУ - одна для бэкапа биоса и его верификации, может туда прописывается?
Аватара пользователя
B4rr4cuda
энтузиаст
 
Сообщения: 693
Зарегистрирован: 28.12.2007 07:48:35


Вернуться в Потрепаться

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

Рейтинг@Mail.ru