Заряжение BIOS – Установка

Вредоносная программа действует через исполняемый модуль со всеми необходимыми для работы компонентами. Он детектирован как «Rootkit.Win32.Mybios.a»

Kомпоненты:

драйвер : bios.sys (устройство \Device\Bios) для работы с BIOS;

драйвер:  my.sys (устройство \Device\hide) для укрытия заражения;

hook.rom – компонент BIOS;

библиотека управления  bios.sys — flash.dll драйвером;

программа для работы с образом  BIOS от производителя – cbrom.exe.

Сначала дроппер расшифровывает и начинает процесс установки. На жесткий диск подается и запускается bios.sys драйвер с целью получить нужную информацию о BIOS.

В корень диска сбрасывается  my.sys драйвер. При  AWARD BIOS действует алгоритм:

1  читается из памяти  BIOS, ищется SMI_PORT, определяется размер BIOS

2  на диске (c:\bios.bin) создается образ BIOS

3  производится добавление к образу при отсутствии на диске образе БИОС модуля hook.rom

4  с диска в ROM прошивается «зараженный» образ.

При использовании BIOS, отличного от AWARD, дроппер заражает MBR. Таким образом, руткит способен проникать в любые системы, любого производителя.