¿Puede un virus corromper el BIOS. Eliminar un banner con AntiSMS

Hoy en día, no cuesta nada contraer un virus en una computadora. Basta con ir a un sitio cuestionable o abrir un archivo desconocido, y ya está. Ahora hay muchos, pero uno de los virus más insidiosos es el banner de ransomware. En primer lugar, porque bloquea casi por completo el trabajo de la PC. Por lo tanto, una segunda computadora o computadora portátil suele ser indispensable aquí.

Entonces, los datos iniciales son los siguientes. Se me acercó con una solicitud para ayudar a lidiar con la computadora portátil. Luego de reiniciarlo, de repente, al ingresar a Windows, el sistema comenzó a pedir una contraseña. Aunque nadie lo puso (ayer todo estaba encendido sin contraseña). El usuario probó todas sus contraseñas, pero por supuesto que no encajaban.

En realidad, esta información no me dijo mucho; pensé que tendría que omitir la contraseña. Fue inútil pasar por algunas combinaciones, así que no ingresé nada y solo presioné Enter. Y luego, listo, el sistema arrancó. Hurra, ¿está resuelto el problema? En absoluto, fue incluso mejor.

¡Estás bloqueado, paga una multa!

Después de encender la computadora portátil, apareció un enorme banner en el escritorio en toda la pantalla. Dijo que el sistema de Windows estaba bloqueado para ver "películas interesantes" y todo eso.

Para ser honesto, a veces comprendo a mis padres. Cuando lee una pancarta de este tipo en la computadora portátil de su hijo y ve la razón del bloqueo, el pensamiento aparece inmediatamente en su cabeza: "Oh, usted es tal o cual bromista". Y las manos mismas alcanzan el cinturón. Probablemente esta sea la razón por la que los niños tienen miedo de denunciar esto y hacen cosas completamente innecesarias, por ejemplo, pagar una multa a un intruso.

Entonces, desde el banner, inmediatamente queda claro que se trata de un virus. En realidad, solo necesita buscarlo y eliminarlo. Pero hay un problema: el banner bloquea el sistema y no se puede hacer nada en el escritorio.

Pruébelo primero. Si el virus no le permite hacer esto, entonces la única opción permanece: el tratamiento con una utilidad antivirus desde una unidad flash USB iniciada a través del BIOS.

Intentando eliminar el virus con una utilidad antivirus

Por lo tanto, para deshacerse del virus, debe grabar cualquier utilidad antivirus de Live CD en una unidad flash USB. Podría ser el Dr. Web, Avast, Kaspersky, lo que sea.

Dado que la computadora portátil infectada está bloqueada, necesitará otra PC aquí. Con su ayuda, será posible encontrar esta utilidad y escribirla en una unidad flash USB. Es bueno que hoy en día casi todas las casas tengan 2-3 computadoras / laptops 🙂

La unidad flash debe ser de arranque. Aquellos. debe grabarse utilizando un programa especial. Por ejemplo, puedes.

Si hace todo correctamente, se iniciará la utilidad antivirus en lugar de Windows. Luego, solo necesita ejecutar un análisis de virus y esperar a que se complete.

En mi caso, la verificación tardó más de una hora. O más. Entonces me cansé de esperar. Y la mirada triste de una persona preocupada por su computadora portátil y los datos que contenía hizo que se debiera cambiar algo. Al final, cancelé este cheque desafortunado y decidí buscar otra forma.

Eliminar un banner con AntiSMS

Existe una excelente utilidad AntiSMS. Perfecto para usuarios sin experiencia que se enfrentan a un problema similar por primera vez.

Su ventaja es que no escanea todo el sistema en busca de virus, sino que elimina inmediatamente este molesto banner. Puede deshacerse de él manualmente, pero para ello necesita saber cómo hacerlo. La utilidad AntiSMS realiza todas estas acciones automáticamente. Como resultado, el banner de ransomware se elimina en solo 10 minutos.

Nuevamente: debe escribir la utilidad en una unidad flash USB de arranque, iniciar a través del BIOS y ejecutarlo. Luego, espere un par de minutos hasta que vea un mensaje de que el virus se eliminó correctamente. Reinicie su PC o computadora portátil; debería encenderse y el banner desaparecerá. En realidad, en mi caso, el problema se resolvió solo con la ayuda de AntiSMS.

La utilidad es gratuita y se puede encontrar en el sitio web oficial. Además, ya ha aparecido un nuevo programa de los mismos desarrolladores: SmartFix.

Así es como resultó desbloquear la computadora del virus. Por cierto, según el usuario, lo más probable es que esta infección se haya detectado en el sitio web de resúmenes. Aparecieron banners publicitarios: cuando trató de cerrarlos, el sistema se congeló, luego siguió un reinicio, y listo, cuando inicia sesión en Windows, ya solicita una contraseña. Y luego, como resultó, un virus nos esperaba con un mensaje formidable para pagar una multa por desbloquear la PC.

Por supuesto, nadie tiene que pagar, el banner no desaparecerá de esto. El único beneficio será solo para un atacante: comprenderá que este método de "ganar dinero" funciona y continuará propagando sus virus en todo tipo de sitios.

A principios de septiembre, los expertos del laboratorio de virus de Doctor Web obtuvieron una copia notable del programa malicioso denominado Trojan.Bioskit.1... En general, es un troyano estándar en funcionalidad que infecta el MBR (área de arranque de un disco) e intenta descargar algo de la red. Luego de la investigación realizada por los especialistas de Doctor Web, resultó que también contiene mecanismos que permiten infectar la BIOS de la placa base de una computadora.

Cuantos más detalles del funcionamiento de este programa malicioso se revelaran durante la investigación, más nos convencíamos de que era más un desarrollo experimental que un malware en toda regla, o se "filtró" antes de lo que el autor quisiera. Esto, en particular, se puede evidenciar por los siguientes hechos:

Comprobación de los parámetros de la línea de comandos (iniciando esta instancia del troyano con la clave -u cura el sistema);
el uso de utilidades de terceros;
código de desactivación de virus desactivado después de 50 días;
la presencia de dos variantes diferentes de infectar archivos del sistema (de las cuales solo se usa una);
errores en el código que parecen errores ortográficos.

Pero todas estas circunstancias de ninguna manera disminuyen el peligro potencial de este troyano. Hagamos una reserva de inmediato de que solo las placas base equipadas con Award BIOS pueden infectarse.

Infección

Originalmente un gotero del troyano Trojan.Bioskit.1 comprueba si los procesos de varios antivirus chinos se están ejecutando en el sistema operativo: si se detectan, el troyano crea un cuadro de diálogo transparente desde el que se llama a su función principal. Luego Trojan.Bioskit.1 determina la versión del sistema operativo y, si es Windows 2000 o superior (excepto Windows Vista), continúa la infección. El troyano comprueba el estado de la línea de comandos, desde la que se puede iniciar con varios conmutadores:

-D- esta tecla no funciona (esta función probablemente se eliminó en la "versión de lanzamiento");
-w- infectar el sistema (utilizado por defecto);
-u- curar el sistema (incluyendo MBR y BIOS).

Varios archivos están empaquetados en los recursos del cuentagotas:

cbrom.exe
gancho. de
my.sys
flash.dll
bios.sys

En el curso de su trabajo, el cuentagotas desempaqueta y guarda el controlador en el disco duro. % windir% \ system32 \ drivers \ bios.sys... Si el sistema tiene un dispositivo \\. \ MyDeviceDriver(el cuentagotas investigado no tiene un controlador que implemente dicho dispositivo), el troyano descarga la biblioteca en el disco % windir% \ flash.dll y lo más probable es que intente implementarlo constantemente en los procesos del sistema. services.exe, svchost.exe y explorer.exe... El propósito de esta biblioteca es iniciar el controlador bios.sys medios regulares gerente de control de servicio) para crear un servicio BIOS... Cuando se descarga la biblioteca, se elimina este servicio. Si el dispositivo \\. \ MyDeviceDriver está ausente, el troyano se instala en el sistema sobrescribiendo el controlador del sistema beep.sys. Una vez iniciado, beep.sys se restaura a partir de una copia creada anteriormente. La única excepción a esta regla se hace para Microsoft Windows 7: en este sistema, el cuentagotas descarga la biblioteca en el disco % windir% \ flash.dll y lo carga él mismo.

Luego, el cuentagotas guarda el controlador rootkit en la raíz de la unidad C: my.sys... Si el conductor bios.sys no pudo comenzar o BIOS la computadora es diferente de Otorgar, el troyano procede a infectar MBR... Un archivo se descarga en el disco % temp% \ hook.rom, que es un módulo de expansión completo ( ROM de expansión PCI). Pero en esta etapa, se usa solo como un contenedor del que se extraen los datos para su posterior escritura en el disco. Después de eso, se sobrescriben los primeros 14 sectores del disco duro, incluidos MBR... Original MBR permanece en el octavo sector.

Controlador my.sys

Según los estándares actuales, este es un controlador bastante primitivo: intercepta del controlador del sistema disk.sys manipuladores IRP_MJ_READ, IRP_MJ_WRITE y IRP_MJ_DEVICE_CONTROL, en donde:

IRP_MJ_READ devuelve ceros en lugar de los primeros 63 sectores del disco duro;
IRP_MJ_WRITE no permite escribir en los primeros 63 sectores. Al mismo tiempo, el virus intenta permitir que su cuentagotas sobrescriba el MBR y otros sectores, pero debido a un error obvio en el código, el truco no funciona. Por tanto, el autor del troyano permite sobrescribir 0x14(20) sectores, y el cuentagotas escribe solo 0xE (14);
IRP_MJ_DEVICE_CONTROL devoluciones STATUS_UNSUCCESSFUL en respuesta a solicitudes IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX y IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.

Infección de BIOS

Pero volvamos al caso cuando el conductor bios.sys lograr identificar Premio BIOS... Hay que decir que es la presencia de este controlador lo que distingue a este programa malicioso de la gran lista de troyanos similares que infectan MBR.

El conductor mencionado es muy pequeño y tiene un espantoso destructivo potencial. Implementa tres métodos:

Identificar Premio BIOS(a lo largo del camino, determine el tamaño de su imagen y, lo más importante, E / S puerto a través del cual puede forzar programáticamente a generar SMI (Interrupción de la gestión del sistema) y así ejecutar el código en el modo SMM);
Guardar imagen BIOS al disco al archivo C: \ bios.bin;
Grabar una imagen BIOS desde el archivo C: \ bios.bin.

Obtenga acceso y aún más sobrescriba el microcircuito con BIOS- la tarea no es trivial. Para hacer esto, primero debe organizar la interacción con el chipset de la placa base para permitir el acceso al chip, luego debe identificar el chip en sí y aplicar el protocolo de borrado / escritura de datos que le resulte familiar. Pero el autor de este programa malicioso tomó un camino más fácil, transfiriendo todas estas tareas a sí mismo. BIOS... Aprovechó el trabajo de un investigador chino conocido por el apodo Icelord... El trabajo se realizó allá por 2007: luego, al analizar la utilidad Winflash por Premio BIOS Se descubrió una forma sencilla de flashear el microcircuito a través de un servicio proporcionado por él mismo. BIOS v SMM (Modo de gestión del sistema). Código de programa SMM v SMRAM no visible para el sistema operativo (si BIOS está escrito correctamente, entonces el acceso a esta memoria está bloqueado por él) y se ejecuta independientemente de él. El propósito de este código es muy diverso: es la emulación de capacidades de la placa base que no están implementadas en el hardware, manejo de errores de hardware, manejo de modos de energía, funciones de servicio, etc.

Para modificar la propia imagen BIOS este programa malicioso utiliza la utilidad cbrom.exe(de Phoenix Technologies), que, como todos los demás archivos, incluye sus recursos. Con esta utilidad, el troyano inyecta su módulo hook.rom en la imagen como ROM BIOS ISA... Luego Trojan.Bioskit.1 le indica a su conductor que vuelva a flashear BIOS desde el archivo actualizado.

La próxima vez que la computadora se reinicie durante el proceso de inicialización BIOS llamará a todos los disponibles ROM de expansión PCI incluso gancho. de... El código malicioso de este módulo comprueba la infección en todo momento. MBR y lo recarga si es necesario. Cabe señalar que la presencia en el sistema Premio BIOS no garantiza la infección con este troyano en absoluto. Entonces, de las tres placas base probadas en el laboratorio de virus, solo una logró infectar, y en las otras dos, simplemente no había suficiente espacio en la memoria del BIOS para escribir un nuevo módulo.

Infección MBR

El troyano coloca el código en el MBR, cuya principal tarea es infectar archivos. winlogon.exe(en los sistemas operativos Windows 2000 y Windows XP) o wininit.exe(Windows 7). Para resolver este problema Trojan.Bioskit.1 tiene su propio analizador NTFS / FAT32... El troyano mantiene un contador de lanzamientos que se actualiza una vez al día. Después de 50 días, se supone que el módulo infectado se desactivará: se modificará de tal manera que el código del virus ya no tendrá control. Pero en esta versión del troyano, este mecanismo está desactivado. Total Trojan.Bioskit.1 incluye dos versiones de shellcode, de las cuales solo una está activa actualmente.

Conclusión

Es difícil subestimar la peligrosidad de este tipo de amenazas, sobre todo si se tiene en cuenta que en el futuro pueden aparecer modificaciones más avanzadas de este troyano o virus que operen según un algoritmo similar. Actualmente, la detección y el tratamiento de MBR, archivos de sistema y componentes de archivos de virus se han agregado al software antivirus Dr.Web. Si, después de detectar y tratar esta amenaza, el sistema se vuelve a infectar Trojan.Bioskit.1, lo más probable es que la fuente de infección sea el BIOS de una computadora infectada. Los especialistas de Doctor Web continúan trabajando en el problema.

Pruebas: cómo llamar gratis desde una computadora a un teléfono móvil

¿Cómo restauro la barra de idioma?

Cómo restablecer una computadora portátil Packard Bell a la configuración de fábrica Instrucciones para restablecer una computadora portátil a la configuración de fábrica

Descripción general de Ontrack EasyRecovery Professional Recupere archivos eliminados con easyrecovery professional