У меня на материнке перемычка есть, запрещающая перезапись :)

> Или нашли какую-нить одну материнку, потыкались и побежали на конференцию?

Для этой чумы достаточно одной марки. Только есть подозрение, что на всех аналогичных тоже сработает.

Насколько помню: основная проблема вирусов сидящих в mbr/boot является защищенный режим ОС. Как они это обошли, интересно? На ум приходят только фантастика с VM, да всякие транслируемые блоки типа DSDT.

> Скоро руткиты будут в микрокод процессора внедрять

А Вы уверены, что их там нет с завода (например, для отслеживания нелицензионного содержимого)? :(((

>> даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена

> И где же вирус в таком случае прячется? В блоке питания?

При перепрошивке ОС загружается или нет? Так вот, вирус активируется в ОЗУ и после прошивки восстанавливается во флэш-памяти.

Мораль: материнки, в которых микросхема БИОС впаяна намертво, а не вставлена в кроватку, опасны, ибо в стандартном программаторе (которому вирусы пофиг, всё сотрёт) их не перешьёшь -- или надо срочно добывать приспопобы, позволяющие программатору работать с микросхемами прямо на материнке, ибо перепай -- операция несколько рискованная.

Компьютерокапец? %)

> При перепрошивке ОС загружается или нет? Так вот, вирус активируется в ОЗУ и после прошивки восстанавливается во флэш-памяти.

> даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена

Ну, если шить из зараженной операционной системы, то возможно. Но какой идиот так будет делать? ИМХО даже из "здоровой" - глупо. Шить (если не программатором) средствами самой БИОС, есть защищенный от записи участок флэш, в котором и хранится этот монитор, или загрузив с защищенного от записи носителя ДОС ( если угодно - Линукс с лайвсиди).

Биосм в оперативке висит, при перепрошивке у тебя только микросхемка гакается, а оперативка со старым, зараженным не отключается и руткит свободно пишет себя в новый биос. Так-то. К.О.

да ну злосность руткита сильно преувеличена. при полном стирании информации на жестком диске вирус деактивируется. да биос остаетсся патченым, но патч биоса лишь позволяет работать руткиту, а не сам является руткитом. перепрошивка биоса из под дос при условии отформатированного винта не даст вирусу далее работать. короче читате презентацию чтоб было более менее понятно: http://download.coresecurity.com/corporate/attachments/Persistent_BIOS_Infect...

> И где же вирус в таком случае прячется? В блоке питания?

Ужас, нужно не допускать никого к своим "железкам", а то мало ли монитор или хуже того, мышь заразят.

А ещё при физическом доступе к машине можно сломать пополам материнскую плату.

БивисокапецЪ

>Да я сносил, а они (вирусы) в шлейфах сидят! А потом опять размножаются!

Продам, освященные патриком, провода и шлейфы для компьютера, не подверженные заразе, 100 баксов/метр.

>А ваще, вспомним чернобыль - очень веселый вирус, кстати...

+1, он у меня был первым и последним вирем, вот только начиная с июня, а дальше я его почикал, оставив себе копию :)

>> Скоро руткиты будут в микрокод процессора внедрять

>А Вы уверены, что их там нет с завода (например, для отслеживания нелицензионного содержимого)? :(((

Закладки в железе могут быть внедрены отнюдь не для столь мирных целей, а целей контроля военными штатов инфраструктуры врага, которому поставляется в огромных кол-вах железо, если вдруг начнутся боевые действия. Пропиетарное ПО тоже может их содержать.

> То уязвимости в процессорах, то заражение биоса.. Что дальше?

Рак северного моста. Прийдётся покупать антивирусные наклейки на корпус.

> А ещё при физическом доступе к машине можно сломать пополам материнскую плату.

Сломанная пополам материнка не может рассылать спам.

> но патч биоса лишь позволяет работать руткиту, а не сам является руткитом.

Не факт.

>перепрошивка биоса из под дос при условии отформатированного винта не даст вирусу далее работать.

При загрузке ЛЮБОЙ (!!!) ОС вначале вызывается загрузочный блок биоса, который считывает с диска загрузочный сектор и передаёт ему управление. Это так в тех компьютерах, в которых есть БИОС. (В IBM PC XT было НЕПРОГРАММИРУЕМОЕ СХЕМНОЕ решение, считывавшее загрузочный блок с диска и передававшее ему управление. Во всех последующих аппаратах был БИОС.) Так вот, руткит активируется ДО СЧИТЫВАНИЯ загрузочной информации с диска -- и садится в память. Всё, машина заражена...

> Насколько помню: основная проблема вирусов сидящих в mbr/boot является защищенный режим ОС. Как они это обошли, интересно? На ум приходят только фантастика с VM, да всякие транслируемые блоки типа DSDT.

Ничего фантастического. Никто не мешает перехватывать обращения к диску и патчить ядро, вставляя переходы на свой код, который сидит в резидентной памяти. Для примера под winnt смотреть bootkit, очень понятный и грамотный код.

ЗЫ Догадайтесь у каких устройст есть документрованная команда download microcode? Если кто не догадался, тут недавно вирус был, он на эти девайсы просто пароль ставил. Кстати тоже фича стандарта, и все устройства это поддерживают =)

Забавно. Если бы я отвечал за безопасность, то ногти бы уже сгрыз по локоть из-за отсутствия отечественной базы по разработке и производству вычислительной и офисной техники.

> И где же вирус в таком случае прячется? В блоке питания?
В памяти. И тут же восстановит себя в прошивке
после её перешивания - перезагрузиться просто не
успеешь.

> а биос обнулить достав батарейку не?
Это обнуляет не биос, а cmos nvram с настройками
биос-сетапа.

Это реально жопа. Особенно учитывая то, что биос может быть заражен прямо у производителя.

Ботнет прямо из магазина.

> И где же вирус в таком случае прячется? В блоке питания? В памяти. И тут же восстановит себя в прошивке после её перешивания - перезагрузиться просто не успеешь.

А разве "обычный" бутовый вирус не так же работает? И ничего, лечится.

> А разве "обычный" бутовый вирус не так же работает? И ничего,
> лечится.
Немного не так. Код биоса может сидеть в shadow ram, доступ
к которой на запись запрещён средствами чипсета (в отличии
от запрета записи на уровне защиты страниц, которую антивирь
мог бы обойти). Бутовый вирус в shadow ram не залез бы.
Кроме того, биосовый вирус может и в smm memory сидеть,
где его и по чтению сложно обнаружить будет.
Одним словом, раздолья тут гораздо больше, а антивирус отдыхает.
Наверное, разработчики антивирусов тоже будут пытаться что-то
придумать, но в данной ситуации им не позавидовать. Если вирусу
удалось спуститься на уровень ниже, заручившись аппаратной
защитой, то на какое-то время разрабы антивирусов будут в
глубоком ауте, куда им, в общем то, и дорога. :)

Капитан Очевидность, перелогиньтесь :)

идея - баян!

уже сто лет назад такое было известно и делалось boot-вирусами,,,

Может Alfredo & Anibal америку для себя открыли, в чем новость!?

Можно и еще проще на компьютере с AMT можно и без перепрошивки bios настроить удаленный доступ да еще и включать его через интернет например :-)

Сто лет назад было известно, что форматирование на низком уровне винчестера гарантирует уничтожение вируса. Теперь также очевидно, что это не так.

>Закладки в железе могут быть внедрены отнюдь не для столь мирных целей, а целей контроля военными штатов инфраструктуры врага, которому поставляется в огромных кол-вах железо, если вдруг начнутся боевые действия. Пропиетарное ПО тоже может их содержать.

они восстанут и меня прикончат!!!!11111

У оверклокеров сейчас мода пошла на материнки с несколькими копиями BIOS, между которыми можно переключаться с помощью перемычек.

>Сто лет назад было известно, что форматирование на низком уровне винчестера гарантирует уничтожение вируса.

Ничё не поменялось. Если вирус НА ВИНТЕ то его форм-ние на низком уровне его сотрёт С ВИНТА.

Между прочим на преобладаюшей половине MB есть джампер отвечающий за блокировку извне к ПЗУ и КМОСу. у мну всегда так стоит. а если надо проабдейтить биос то можно и снять на время. всёравно биос не прошивается каждей несколько дней. так что это не столь существенный трабл.

> Капитан Очевидность, перелогиньтесь :)
Человеку было интересно узнать, чем биосовый
вирус может отличаться от бутового. Я разжевал,
как мог. У тебя по делу есть что для него добавить?
Вот и всё. :)

Надеюсь, прежде чем роботессы пойдут в серию, это пофиксят.

ХОТЕТ!!!!! ИСХОДНИКИ!!!!!!!
Акуеть! Так же можно написать свой собственный логин на ноут!

Вообще-то имея ФИЗИЧЕСКИЙ доступ к компьютеру можно не только BIOS "пропатчить", но и сетевую карту "заапгрейдить" (там тоже есть ЕПРОМ), а также видеокарточку "модифицировать", добавить функциональности ПО жеских дисков, набить морду хозяину и дать взятку его начальнику, чтобы рассылать СПАМ!

Мало того: при условии закрытых спецификаций ПО и BIOS и можно таких "хоттабычей" заложить, что "аргентинским хакерам" и не снилось!

Мну колбасит при мысле, что антивирь скажет "У вашего компа рак!"

Таки грядет компьютерокапец. До терминаторов не доживут видать. Компы в смысле.
Насчет перемычки на мамке - у себя такой не видел. Плата гигабайтовская относительно новая (полгода стоит). Модель, сидя на работе, не вспомню. Т.е. какова распространенность этой тычки и в каком она положении при продаже? Если не в р/о, то...леммингам не объяснить.

>Ничё не поменялось. Если вирус НА ВИНТЕ то его форм-ние на низком уровне его сотрёт С ВИНТА.

Вот это и поменялось. Раньше вирус ВСЕГДА был на винте. Поэтому достаточно было загрузиться с проверенной дискеты, чтобы ГАРАНТИРОВАННО избежать запуска вируса.

А теперь, в этих новых условиях, попробуй опиши последовательность действий ГАРАНТИРУЮЩУЮ чистую загрузку компьютера. Другими словами, предположи, что биос УЖЕ заражен и попробуй его обойти без внешнего программатора.

адин хер У мну джампер на запрет записи биоса стоит и не волнует

ЕМНИП Gigabyte делала платы с двумя физическими микросхемами BIOS.

Если есть подозрения, менять местами микрухи и грузиться с резервной.

вообще: 1. этот клас ПО зовется Bootkit, а не руткит 2. этой категории ПО более 7 лет. 3. affected ~65% оборудования поставляеммого в РФ(потому и контроллируются каналы). 4. "бытовое использование" многим знакомо по загрузочным чэйнлоадерам с USB-флешек для обхода разного рода систем защиты(hw-dep), а также custom-модулям к модульному фирмверу(оба вендора FW для PC и Ами и феникс-авард). 5. "очень любимо" в кругу спецслужб. см также п 3(косвенно обьясняет % "бывших" в этой отрасли).