ウィルスの中には、このくらいなら大したことない奴から、入ってひとたび活動するととんでもない奴までいて、パソコンのBIOSをクラッシュさせる奴(チェルノブイリ PE_CIH.1049 有名)など奴らに勉強させられました。
未だにブラクラを、何気にばらまく奴も見られますが・・・
後マル系で色々と調べながらパソコン整備士協会等で報告・会議でも沢山情報を調べながらいつも思うのは、これを作る人は一体どんな奴なんだと思います。ある意味スゴイですわ。
「BIOS への感染:新たなる未知の領域か」
いつも見ているウィルス辞典から応用
BIOS への感染能力を持つトロイの木馬プログラムをアンチウイルスベンダー数社のアナリストが発見しました。これは、今後のマルウェアおよびアンチウイルス技術の開発に影響を与えることになると思われます。コンピューターの電源を入れた直後に BIOS からマルウェアを起動すれば、コンピューターのブートシーケンスやOSを完全に制御することができます。このレベルでの悪性コードのインジェクションは 1998 年に初めて発見されました。そのCIH ウイルスは、BIOS プログラムを書き換える能力を持っていたものの、その攻撃はBIOS を破壊してコンピューターを再起動不能に陥れることに留まり、システムの制御には至りませんでした。
このウイルスは間違いなくウイルス作者達の関心を集めることになりますが、そのプロセスは複雑です。主に難関となるのが非標準的な BIOS フォーマットです。マルウェア作者は、あらゆるベンダー製の BIOS に対応し、ROM 上のそれぞれのファームウェアアルゴリズムを操る必要があります。
9 月に検知されたあるルートキットは、Award 製の BIOS への感染を目的としており、中国で作成されたと見られています。そのトロイの木馬コードは明らかに未完成であり、デバッグ情報を含むものでしたが、我々はその機能と仕組みを割り出すことに成功しました。
このルートキットには主に 2 つの機能があり、その主な動作は MBR で実行されるコード内に確認することができます。BIOS に挿入されたコードの唯一のタスクは感染させた MBR コードのバックアップが MBR 内に存在することを確認し、確認できない場合には感染を復元させることです。感染させたブートレコードと対応するセクターは同一の ISA ROM モジュール内にあるため、不一致を検出すると、再び BIOS から MBR を直接感染させます。このようにして、MBR 内のマルウェアが駆除されても、またコンピューターを感染し続けようとします。
カスペルスキーは各種技術を駆使し、このルートキットによる感染を検出するのに成功しました。感染 BIOS の処置は可能であるかという問題がまだ残るものの、同様の機能を持つマルウェアがさらに出現すれば明らかになるでしょう。現在我々は、 Rootkit.Win32.Mybios.a はコンセプトモデルであり大量配布を狙ったものではないと考えています。このマルウェア「Bioskit」については、弊社のアナリスト、ビャチェスラ フ・ルサコフ(Vyacheslav Rusakov)が記事で詳細に分析しています。
0 件のコメント:
コメントを投稿