Заряжение BIOS – BIOS

После старта из BIOS вредоносный объект контролирует все этапы работы компьютера и ОС. Модуль, добавляемый в BIOS, обладает функцией с дополнительной информацией , умещающейся в 1 сектор – 512 байт.  MBR  и дополнительные  сектора занимают 0x1C00 байт,  ISA ROM – 0x1E00 байт.

Цель этой функции –выяснить, если в  MBR есть зараженная копия, в случае же ее отсутствия – восстановить заражение. Загрузочная инфицированная запись и последующие сектора присутствуют в самом модуле. И  при обнаружении несоответствия возможно «перезаражение» MBR напрямую из BIOS. Даже в случае излечения MBR риск зараженного состояния компьютера велик.

«Магическая» константа определяет наличие заражения. Ее поиск происходит по фиксированному смещению в MBR. В зараженном секторе должна быть в наличии константа «int1». Функция CheckMBRInfected должна обнаружить  в главной загрузочной записи заражение. Если этого не происходит, вредонос заразит MBR и 13 последующих секторов. После этого  добавленный в BIOS модуль ISA ROM заканчивает свою работу. Основную работу будет осуществлять исполняющийся из MBR код.