Hlavní navigace

Názor ke zprávičce Mebromi: BIOS rootkit usazující se v základní desce od RayeR - Tak doporucuji precist ten anglicky clanek, tam je...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 20. 9. 2011 12:05

    RayeR (neregistrovaný)

    Tak doporucuji precist ten anglicky clanek, tam je to vsechno vysvetlene. Zistil sem, to je jen obycejna prasacka slepenina kodu, kera vyuziva 5 let stary rootkit a oficialni utilitu CBROM na modifikaci BIOSu, takze zadny programatorsky hardcore triky se nekonaji. Tohle mohl slepit kdejaky cinsky studentik na koleji za par veceru.
    Sou tu jista omezeni - nefunguje to v 64bit Win (mozna prave kuli podpisu driveru) a samotny vir si kontroluje kery PC napada - jen ty s nainstalovanym cinskym antivirem, takze zbytek sveta muze byt zatim v klidu (nez to nekdo upravi :). Je tam popisovany zajimavy trik jak to na zazatku loadne KMD. Zastavi sluzbu beep, prepise KMD beep.sys svym vlastnim a znovu spusti. Tohle ale u novejsich win vista/7 pod userem neprojde, ty pomalu ani administratorovi nedovoli sahnout na zadny systemovy soubor.
    Nasledne vir vyuzije SMI API pro cteni/zapis BIOSu, udela dump, modifikuje ho standardni utilitou CBROM, tak ze tam standardnim zpusobem nahraje ISA ROM modul (na novejsich BIOSech uz neni podporovan, takze se nespusti), tento modul se spousti pri bootu po POSTu a napada MBR. Kod v MBR hookne ovladac disku pres kery si vir zajisti skryti souboru nakazy a napadne winlogon, takze ma zajisteno spousteni pri startu. Tam se spousti dalsi cast, kera stahuje naky modul z netu, ale ta adresa uz nefunguje.

    Zajimavy je na tom to, ze by tenle vir sel zacilit presne na urcity typy PC napr v nejaky firme a vyuzit v nekalem konkurencnim boji. Myslim ze vzhledem k rade omezeni se to nestane globalni hrozbou.