После старта из BIOS вредоносный объект контролирует все этапы работы компьютера и ОС. Модуль, добавляемый в BIOS, обладает функцией с дополнительной информацией , умещающейся в 1 сектор – 512 байт.  MBR  и дополнительные  сектора занимают 0x1C00 байт,  ISA ROM – 0x1E00 байт.

Цель этой функции –выяснить, если в  MBR есть зараженная копия, в случае же ее отсутствия – восстановить заражение. Загрузочная инфицированная запись и последующие сектора присутствуют в самом модуле. И  при обнаружении несоответствия возможно «перезаражение» MBR напрямую из BIOS. Даже в случае излечения MBR риск зараженного состояния компьютера велик.

«Магическая» константа определяет наличие заражения. Ее поиск происходит по фиксированному смещению в MBR. В зараженном секторе должна быть в наличии константа «int1». Функция CheckMBRInfected должна обнаружить  в главной загрузочной записи заражение. Если этого не происходит, вредонос заразит MBR и 13 последующих секторов. После этого  добавленный в BIOS модуль ISA ROM заканчивает свою работу. Основную работу будет осуществлять исполняющийся из MBR код.

Драйвер  my.sys используется для сокрытия информации по заражению. Руткит-драйвер  уводит функции IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_DEVICE_CONTROL у драйвера, который обслуживает \Device\Harddisk0\DR0. При перехвате подменяется CompletionRoutine в случае чтения, пустой буфер возвращается при попытке чтения охраняемых секторов. Перехват IRP_MJ_WRITE препятствует записи данных в охраняемые сектора. Перехват IRP_MJ_DEVICE_CONTROL следит за вызовами IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX, IOCTL_DISK_GET_DRIVE_GEOMETRY_EX и посылает назад ошибку.

Инсталятор руткита использует  bios.sys драйвер и осуществляет 3 функции.

FindSMIPORTAndBIOSSize – первая функция, используемая для определения типа BIOS в системе. Для этого ищется «магическая» сигнатура в памяти. При совпадении сигнатуры функция действует дальше и делает попытку найти SMI_PORT и вычислить размер bios. B других ситуациях ошибка возвращается и дроппер заразит MBR обычным образом.

Проверка, аутентифицировавшая BIOS AWARD и нашедшая переменные SMI_PORT и BIOSSize вызывает за собой функцию MakeBIOSBackup, сохраняющую образ БИОС в файле c:\bios.bin. После того, как образ сохранен на диске, дроппер делает проверку на наличие своего модуля. Если он отсутствует, в образ BIOS добавляется ISA ROM при помощи утилиты cbrom.exe(cbrom c:\bios.bin /isa hook.rom). Далее вызывается функция FlashROM, которая прошивает зараженный образ в ROM. Каждый раз при включении компьютера образ будет вызываться снова и снова.

Вредоносная программа действует через исполняемый модуль со всеми необходимыми для работы компонентами. Он детектирован как «Rootkit.Win32.Mybios.a»

Kомпоненты:

драйвер : bios.sys (устройство \Device\Bios) для работы с BIOS;

драйвер:  my.sys (устройство \Device\hide) для укрытия заражения;

hook.rom – компонент BIOS;

библиотека управления  bios.sys — flash.dll драйвером;

программа для работы с образом  BIOS от производителя – cbrom.exe.

Сначала дроппер расшифровывает и начинает процесс установки. На жесткий диск подается и запускается bios.sys драйвер с целью получить нужную информацию о BIOS.

В корень диска сбрасывается  my.sys драйвер. При  AWARD BIOS действует алгоритм:

1  читается из памяти  BIOS, ищется SMI_PORT, определяется размер BIOS

2  на диске (c:\bios.bin) создается образ BIOS

3  производится добавление к образу при отсутствии на диске образе БИОС модуля hook.rom

4  с диска в ROM прошивается «зараженный» образ.

При использовании BIOS, отличного от AWARD, дроппер заражает MBR. Таким образом, руткит способен проникать в любые системы, любого производителя.

Заразить BIOS пытались уже давно: перехватывали указатели в различных системных таблицах ОС, заражали MBR и системные компоненты. По аналогии с MBR при заражении BIOS вредоносный код инициализируется с момента как включается компьютер. Вредонос уже может контролировать все фазы загрузки компьютера и ОС. Однако для вирусописателей есть и сложности. Из-за неунифицированного формата BIOS разработчики вирусной программы должны поддерживать BIOS всех производителей и найти алгоритм прошивки в ROM.Сегодня есть опасность заражения BIOS для тех, у кого материнские плата компании AWARD.