Код, исполняемый на данном этапе, содержит несложный разборщик форматов систем файлов  NTFS и FAT32.Его цель – найти на диске сектора, соответствующие системным файлам winlogon.exe или wininit.exe, компонентам, отвечающим за вход пользователя в систему.

При нахождении требуемых секторов вредонос заражает исполняемый файл winlogon.exe или wininit.exe ( использование технологии файловых вирусов), делая прямые записи в секторах диска, где он расположен. В 8-м секторе находится шаблон для заражения.

В виду своих малых размеров код выполняет 2 задачи :

1. Загрузка из сети определенного файла по ссылке и его запуск;
2. Запуск  руткит-драйвера (my.sys, расположенного на диске C:), предназначенный для защиты зараженных секторов диска.

Цель этой функции –выяснить, если в  MBR есть зараженная копия, в случае же ее отсутствия – восстановить заражение. Загрузочная инфицированная запись и последующие сектора присутствуют в самом модуле. И  при обнаружении несоответствия возможно «перезаражение» MBR напрямую из BIOS. Даже в случае излечения MBR риск зараженного состояния компьютера велик.

«Магическая» константа определяет наличие заражения. Ее поиск происходит по фиксированному смещению в MBR. В зараженном секторе должна быть в наличии константа «int1». Функция CheckMBRInfected должна обнаружить  в главной загрузочной записи заражение. Если этого не происходит, вредонос заразит MBR и 13 последующих секторов. После этого  добавленный в BIOS модуль ISA ROM заканчивает свою работу. Основную работу будет осуществлять исполняющийся из MBR код.

FindSMIPORTAndBIOSSize – первая функция, используемая для определения типа BIOS в системе. Для этого ищется «магическая» сигнатура в памяти. При совпадении сигнатуры функция действует дальше и делает попытку найти SMI_PORT и вычислить размер bios. B других ситуациях ошибка возвращается и дроппер заразит MBR обычным образом.

Проверка, аутентифицировавшая BIOS AWARD и нашедшая переменные SMI_PORT и BIOSSize вызывает за собой функцию MakeBIOSBackup, сохраняющую образ БИОС в файле c:\bios.bin. После того, как образ сохранен на диске, дроппер делает проверку на наличие своего модуля. Если он отсутствует, в образ BIOS добавляется ISA ROM при помощи утилиты cbrom.exe(cbrom c:\bios.bin /isa hook.rom). Далее вызывается функция FlashROM, которая прошивает зараженный образ в ROM. Каждый раз при включении компьютера образ будет вызываться снова и снова.

Kомпоненты:

драйвер : bios.sys (устройство \Device\Bios) для работы с BIOS;

драйвер:  my.sys (устройство \Device\hide) для укрытия заражения;

hook.rom – компонент BIOS;

библиотека управления  bios.sys — flash.dll драйвером;

программа для работы с образом  BIOS от производителя – cbrom.exe.

Сначала дроппер расшифровывает и начинает процесс установки. На жесткий диск подается и запускается bios.sys драйвер с целью получить нужную информацию о BIOS.

В корень диска сбрасывается  my.sys драйвер. При  AWARD BIOS действует алгоритм:

1  читается из памяти  BIOS, ищется SMI_PORT, определяется размер BIOS

2  на диске (c:\bios.bin) создается образ BIOS

3  производится добавление к образу при отсутствии на диске образе БИОС модуля hook.rom

4  с диска в ROM прошивается «зараженный» образ.

При использовании BIOS, отличного от AWARD, дроппер заражает MBR. Таким образом, руткит способен проникать в любые системы, любого производителя.

Многие производители антивирусов хотят изобрести новую технологию, способную разрешить все существующие «вирусные» проблемы, некую панацею, которая излечит компьютер от всех болезней одним махом. Хочется распознать вирус и удалить его до того, как он будет создан и попадет в сеть, причем чтобы так было со всеми рождающимися вирусными программами. Но так как компьютерные вирусы служат целям изощренных хакеров, они не подчиняются универсальным законам. А потому нельзя найти против них какое-то универсальное средство.

Например, поведенческий блокиратор. Он является конкурентом традиционным антивирусам, которые основаны на вирусных сигнатурах. Эти два разных подхода к проверке на вирусы не исключают друг друга. Поведенческий блокиратор наблюдает за работой программ при их запуске и в случае подозрительных или же вредоносных действий с ее стороны, прекращает работу программы ( имеется особый набор правил). При работе с сигнатурой, небольшим куском вирусного кода, прикладываемого к файлам, антивирусная программа сравнивает, подходит он или же нет. Оба метода имеют как сильные стороны, так и недостатки.

Сигнатурные сканеры хорошо отлавливают знакомых им «зверей» ( это их достоинства), но пропускают тех, кого они еще не знают. Недостатками также являются  ресурсоемкость и громоздкий объем антивирусных баз. Поведенческий блокиратор распознает даже неизвестные вредоносные программы, что является, несомненно, его достоинством. Но он пропускает некоторые уже давно известные варианты, ведь современные вредоносные программы ведут себя настолько по-разному, что применить к ним универсальный набор правил просто невозможно. Это его недостаток. Иногда и не представляющие угрозы программы «подозрительны» для поведенческих блокираторов. Они ложно срабатывают, детектируя вирус в чистом файле, каждый раз они будут блокировать деятельность полезных ресурсов и пропускать вредные программы.

Поведенческий блокиратор не способен бороться с совершенно новыми вирусами. Вирусописатели и хакеры не спят и придумывают новый метод заражения системы. Антивирус в таком случае будет нуждаться в срочных обновлениях. Далее – еще обновления. Как следствие получается такой же сигнатурный сканер, где сигнатуры «поведенческие», а не «куски кода».

Аналогично обстоят дела и с эвристическим анализатором. Его суть состоит в анализе возможного поведения программы еще до ее запуска и заключении – безопасна программа или нет. При прогрессе антивирусных технологий, мешающих хакерам взламывать системы, начинают появляться новые вирусные инструменты, которые обходят эвристические методы. Чем быстрее «продвинутый» продукт защиты становится популярным,  передовые технологии становятся неэффективными.

Новейшие проактивные технологии действенны лишь короткое время. Простому хакеру нужно пару месяцев или недель, чтобы преодолеть проактивную оборону, профессионалу – пару дней, часов ,а то и минут. Поведенческому блокиратору и эвристическому анализатору требуются постоянные доработки и, соответственно, обновления. Это занимает немало времени при проактивных методах защиты. Поэтому, часто  обновления от сигнатурных вирусов появляются гораздо быстрее, чем от проактивных технологий.

Проактивные методы хорошо справляются со своей работой и останавливают часть компьютерной фауны, сделанной не столь опытными хакерами. Эти методы неплохо дополняют традиционные сигнатурные сканеры, но на них нельзя полагаться целиком и полностью.

Наиболее важными критериями для выбора антивируса являются простота в использовании и надежность в работе. И идеальный антивирус будет просто бесполезен, если он периодически  «зависает», в конфликте с системой, сильно уменьшает ее производительность. Довольно сложно работать  с антивирусной программой, требующей специальных знаний, большая часть пользователей которыми не владеет. Простой пользователь может проигнорировать уведомление антивируса и нажать случайно «NO» или  «YES». Если же антивирус  очень часто задает непонятные пользователю вопросы, юзер может отключить или удалить антивирус из системы. Многие системные администраторы предпочитают не столь надежную, но более удобную антивирусную систему, когда замечают, что в корпоративной версии антивируса нет необходимого функционала, чтобы администрировать сеть предприятия.

Другим важным критерием является комплексность защиты. Все, что может стать объектом вирусного нападения : различные типы файлов, элементы сети, должны постоянно контролироваться. В этом случае нужно уметь детектировать вредоносный код в возможных каналах его проникновения, обеспечить протекцию всех «дверей», открывающих доступ к компьютеру и его сети.

Третьим критерием  является качество  защиты. Если  антивирус, какой бы навороченный он не был, не может обеспечить требуемый уровень защиты от вирусных программ, он просто бесполезен. Подвергаясь воздействию агрессивной среды,  антивирусные  программы  постоянно совершенствуются. Как правило, новые версии  троянских  программ, вирусов, червей все более сложные по сравнению с их предшественниками.

О высоком качестве защиты можно говорить, если имеется высокий уровень обнаружения вредоносных программ, регулярно выходят обновления, можно правильно удалить вирусный код из системы, использовать двойную защиту от нескольких производителей, имеется достаточная ресурсоемкость и можно защитить компьютер от новых троянских программ и вирусов.

Иногда предполагаемые результаты вирусных атак не отражают реальный уровень угрозы. Довольно часто почтовые черви камуфлируются за новостями о ярком, обсуждаемом всеми событии : будь то чемпионат по футболу, террористический акт, природный катаклизм и прочее. Одни из антивирусных компаний нарочно раздувают вокруг незначительной новости большую шумиху. Однако, если тогда нет других «горячих» новостей, попав в газеты, сообщения вводят в заблуждение пользователей. Например, в 1999 году группа хакеров распространила весть о том, что на Новый Год в сеть будет запущено тысячи новых вирусов. Антивирусные компании и эксперты отреагировали неоднозначно. Некоторые поддерживали сенсацию, раздувая ее, другие призывали пользователей соблюдать спокойствие, так как нет причин для бедствия (ничего страшного не произошло).