Заряжение BIOS – BIOS.SYS и CBROM.EXE
Дек 14
Инсталятор руткита использует bios.sys драйвер и осуществляет 3 функции.
FindSMIPORTAndBIOSSize – первая функция, используемая для определения типа BIOS в системе. Для этого ищется «магическая» сигнатура в памяти. При совпадении сигнатуры функция действует дальше и делает попытку найти SMI_PORT и вычислить размер bios. B других ситуациях ошибка возвращается и дроппер заразит MBR обычным образом.
Проверка, аутентифицировавшая BIOS AWARD и нашедшая переменные SMI_PORT и BIOSSize вызывает за собой функцию MakeBIOSBackup, сохраняющую образ БИОС в файле c:\bios.bin. После того, как образ сохранен на диске, дроппер делает проверку на наличие своего модуля. Если он отсутствует, в образ BIOS добавляется ISA ROM при помощи утилиты cbrom.exe(cbrom c:\bios.bin /isa hook.rom). Далее вызывается функция FlashROM, которая прошивает зараженный образ в ROM. Каждый раз при включении компьютера образ будет вызываться снова и снова.