Vlákno názorů ke zprávičce Mebromi: BIOS rootkit usazující se v základní desce od RayeR - Hm, tak to je docela hardcore, zadny bezzuby...

Hm, tak to je docela hardcore, zadny bezzuby mailovy cervik...
By me zajimaly detaily, protoze se leta upravama BIOSu amatersky zabejvam a vim ze bez vhodnejch nastroju je clovek jak bezrukej a i tak je nekdy problem modnout image tak aby to este vubec nabootovalo. Pro pristup k mazani FlashROM pod windows je potreba pristup k HW (chipsetu), takze by to nemelo jit bez kernel mode driveru. Ten se da nainstalovat automaticky pod administratorem ale ne pod userem. I kdyz na wokna je rada exploitu jak se dostat na ring0. Pokud se tam uz dostanu, tak ale zdaleka neni vyhrano. Pamatuju si jak vir Win32/CIH (btw programatorsky docela hodne kvalitni dilo) nekdy uz pred 10 lety umel mazat BIOSy, ale zdaleka to nefungovalo na vsech BIOSech, na mojem zrovna ne. Kazda deska ma jinej chipset a i kdyz je stejnej tak BIOS se jinej. Ten vir by musel nak inteligentne analyzovat kod BIOSu kam se hooknout. Napada me ze jediny pouzitelny misto je bootblock, kerej je u vsech awadru (aspon nakej rozsah verzi) stejnej. V dobe vykonavani bootblocku ale neni inicializovanej temer zadnej HW, dokonce ani RAMka. Takze to by si to muselo udelat hook na naky preruseni, kery se spusti pozdeji. Docela frajerina by byla modifikace SMI handleru, ze by ted vir pak mohl bezet neviditelne na pozadi i pri cinnosti OS a treba odchytavat hesla a posilat je nekam...
No nic, pudu si precist ty dalsi clanky.
Jinak sem proti SW reseni pres naky dig. podpisy, tim bychom definitivne prisli o moznost BIOS modifikovat i pro dobry ucely. Ten jumper je vec za cent a 100% spolehliva :) Este pamatuju, ze na Pentium 1 deskach pomerne bezna. Kdo ma bobky, muze si i dnes odpajet pin WP# a spojit ho se zemi :)

Defaultní nastavení je buď non-admin account, nebo UAC. V 64-bitových verzích Windows musejí být kernelové drivery podepsané; ve 32-bitových je to default, který může admin vypnout. To jen abyste nešířil FUD :)

Tak to asi nemluvite o W XP. A vite, kolik jich jeste beha? Vy si asi myslite, ze kdyz LO ma W 7, maji vsichni W 7.

@Redakce: Krucipisek, dneska se pro zmenu neda prihlasit vubec.

Ve Windows XP se při instalaci zřizují non-admin účty. Instalace nepodepsaného driveru ve výchozím nastavení vyhazuje dialog s potvrzením; nepodepsané drivery lze úplně zakázat, nebo potvrzování instalace naopak vypnout.

Na rovinu - autorům pořádných virů je toto u rekta, ti už se probourat tímto mechanizmem dávno umí. A vir této úrovně musí být pořádný (a vyplatit se). To, že dneska viry jako CIH nebo One_Half nepotkáte, je čistě o penězích a o tom že o nich nemá být nic známo, neboť by to ohrozilo příjem jejich tvůrců. Najít s těmito znalostmi egoistu, který je kvůli předvedení podobné akce bude riskovat odhalení svých hlubokých znalostí ASM, aby putoval někam do lochu, to je těžká naivita.

AFAIK, SMM (SMI handler) může být napaden přinejmenším na intel platformě, dokonce tak ,že lze obejít i TXT instrukci (!) http://invisiblethingslab.com/resources/bh09dc/Attacking%20Intel%20TXT%20-%20paper.pdf. takže ano teoreticky to může fachat , možná i prakticky