Часто писатели вирусов в одной программе сочетают различные методы инфицирования компьютера  вредоносным ПО и его закрепления в ОС. В то же время они ищут новые места для автозагрузки вредоносных программ. В наши дни создатели троянских программ используют уже подзабытые, но известные раннее идеи и воплощают их в конечном продукте. Подтверждение тому – раскопанные из архивов 16-битные технологии.

Троянец сохраняет при заражении оригинальный MBR в 7-м секторе диска и использует его для  получения таблицы разделов ( после завершения основной работы использует его и для передачи ему управления).

Код, исполняемый на данном этапе, содержит несложный разборщик форматов систем файлов  NTFS и FAT32.Его цель – найти на диске сектора, соответствующие системным файлам winlogon.exe или wininit.exe, компонентам, отвечающим за вход пользователя в систему.

При нахождении требуемых секторов вредонос заражает исполняемый файл winlogon.exe или wininit.exe ( использование технологии файловых вирусов), делая прямые записи в секторах диска, где он расположен. В 8-м секторе находится шаблон для заражения.

В виду своих малых размеров код выполняет 2 задачи :

1. Загрузка из сети определенного файла по ссылке и его запуск;
2. Запуск  руткит-драйвера (my.sys, расположенного на диске C:), предназначенный для защиты зараженных секторов диска.

После старта из BIOS вредоносный объект контролирует все этапы работы компьютера и ОС. Модуль, добавляемый в BIOS, обладает функцией с дополнительной информацией , умещающейся в 1 сектор – 512 байт.  MBR  и дополнительные  сектора занимают 0x1C00 байт,  ISA ROM – 0x1E00 байт.

Цель этой функции –выяснить, если в  MBR есть зараженная копия, в случае же ее отсутствия – восстановить заражение. Загрузочная инфицированная запись и последующие сектора присутствуют в самом модуле. И  при обнаружении несоответствия возможно «перезаражение» MBR напрямую из BIOS. Даже в случае излечения MBR риск зараженного состояния компьютера велик.

«Магическая» константа определяет наличие заражения. Ее поиск происходит по фиксированному смещению в MBR. В зараженном секторе должна быть в наличии константа «int1». Функция CheckMBRInfected должна обнаружить  в главной загрузочной записи заражение. Если этого не происходит, вредонос заразит MBR и 13 последующих секторов. После этого  добавленный в BIOS модуль ISA ROM заканчивает свою работу. Основную работу будет осуществлять исполняющийся из MBR код.

Драйвер  my.sys используется для сокрытия информации по заражению. Руткит-драйвер  уводит функции IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_DEVICE_CONTROL у драйвера, который обслуживает \Device\Harddisk0\DR0. При перехвате подменяется CompletionRoutine в случае чтения, пустой буфер возвращается при попытке чтения охраняемых секторов. Перехват IRP_MJ_WRITE препятствует записи данных в охраняемые сектора. Перехват IRP_MJ_DEVICE_CONTROL следит за вызовами IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX, IOCTL_DISK_GET_DRIVE_GEOMETRY_EX и посылает назад ошибку.

Инсталятор руткита использует  bios.sys драйвер и осуществляет 3 функции.

FindSMIPORTAndBIOSSize – первая функция, используемая для определения типа BIOS в системе. Для этого ищется «магическая» сигнатура в памяти. При совпадении сигнатуры функция действует дальше и делает попытку найти SMI_PORT и вычислить размер bios. B других ситуациях ошибка возвращается и дроппер заразит MBR обычным образом.

Проверка, аутентифицировавшая BIOS AWARD и нашедшая переменные SMI_PORT и BIOSSize вызывает за собой функцию MakeBIOSBackup, сохраняющую образ БИОС в файле c:\bios.bin. После того, как образ сохранен на диске, дроппер делает проверку на наличие своего модуля. Если он отсутствует, в образ BIOS добавляется ISA ROM при помощи утилиты cbrom.exe(cbrom c:\bios.bin /isa hook.rom). Далее вызывается функция FlashROM, которая прошивает зараженный образ в ROM. Каждый раз при включении компьютера образ будет вызываться снова и снова.