воскресенье, 11 сентября 2011 г.

Win32/Wapomi модифицирует прошивку BIOS

Началось все в начале сентября с опубликованного, китайской антивирусной компанией 360 Security, сообщения в блог о найденной вредоносной программе, которая осуществляет модификацию прошивки  BIOS. Это сообщение не особо было замечено общественностью, быть может, ввиду того, что было опубликовано на китайском или из-за небольшого количества читателей самого блога. Но на прошлой неделе появилось уже сразу две публикации на английском:
Первая мало информативна, т.к. автор в основном рассуждает о былых временах и концептах ушедших лет, разбавляя это не очень интересными картинками. А вот второй пост от Symantec более содержателен и описывает некоторые подробности работы.

Итак, нами данная угроза обнаруживается, как Win32/Wapomi (VT). Собственно Win32/Wapomi состоит из нескольких частей, которые извлекаются из секции ресурсов дропера (используется примитивная обфускация в виде xor):
  • bios.sys - драйвер, который собственно осуществляет взаимодействие с микропрограммой BIOS и ее модификацию
  • flash.dll - системный сервис (fileprt), который осуществляет загрузку драйвера
  • my.sys - руткит драйвер, который скрывает модифицированную MBR
  • cbrom.exe - стандартная утилита Phoenix для модификации и упаковки микропрограмм
  • hook.rom - собственно модифицированная прошивка
Сценария работы тоже два, первый, когда BIOS может быть модифицирован, второй соответственно, когда нет. Заражение осуществляется при наличии Award BIOS, иначе происходит только модификация MBR. Никаких выдающихся технологий среди используемых Win32/Wapomi замечено не было, ну разве что факт модификации BIOS. Все остальное довольно стандартно. Полезной нагрузкой являются модифицированный winlogon.exe/wininit.exe в процессе выполнения буткит-части, который производит скачивание и запуск с удаленного сервера файла calc.exe:
  hxxp://dh.3515.info:806/test/calc.exe
  hxxp://dh.3515.info:806/test/91/calc.exe

В случае с Win32/Wapomi интересна не сама угроза, а факт используемых ею технологий. Реализация буткит-части с использованием модификации микропрограммы BIOS, довольно интересный способ обхода обнаружения защитным ПО. По сути в случае успешного заражения, вредоносный код может контролировать загрузку на самом раннем этапе и вносить в нее свои коррективы. Конечно, для такого рода модификаций нужны административные привилегии, но как показывает практика неискушенного пользователя не так сложно ввести в заблуждение.   Ну что же, видимо впереди нас ждет много всего интересного ;)