შეიძლება ვირუსმა გააფუჭოს ბიოსი. ბანერის ამოღება AntiSMS-ის გამოყენებით

დღეს კომპიუტერზე ვირუსის დაჭერა არაფერი ღირს. საკმარისია გადახვიდეთ საეჭვო საიტზე ან გახსენით უცნობი ფაილი - და დასრულებულია. ახლა ბევრი მათგანია, მაგრამ ერთ-ერთი ყველაზე მზაკვრული ვირუსი არის გამოსასყიდის ბანერი. უპირველეს ყოვლისა, იმიტომ, რომ ის თითქმის მთლიანად ბლოკავს კომპიუტერის მუშაობას. ამიტომ, მეორე კომპიუტერი ან ლეპტოპი აქ ჩვეულებრივ შეუცვლელია.

ასე რომ, საწყისი მონაცემები ასეთია. მომმართეს თხოვნით, დამეხმარა ლეპტოპთან გამკლავებაში. გადატვირთვის შემდეგ, უეცრად, ვინდოუსში შესვლისას, სისტემამ დაიწყო პაროლის მოთხოვნა. თუმცა არავის დაუყენებია (გუშინ ყველაფერი პაროლის გარეშე იყო ჩართული). მომხმარებელმა სცადა მისი ყველა პაროლი, მაგრამ, რა თქმა უნდა, ისინი არ ჯდება.

რეალურად, ამ ინფორმაციამ ბევრი არაფერი მითხრა - მეგონა, პაროლის გვერდის ავლით მომიწევდა. რაღაც კომბინაციების გავლა უაზრო იყო, ამიტომ არაფერი შევიყვანე და უბრალოდ ენტერს დავაჭირე. და შემდეგ - voila, სისტემა ჩაიტვირთა. ჰოო, პრობლემა მოგვარებულია? სულაც არა - უკეთესიც კი იყო.

დაბლოკილი ხარ, ჯარიმა გადაიხადე!

ლეპტოპის ჩართვის შემდეგ დესკტოპზე მთელ ეკრანზე უზარმაზარი ბანერი გამოჩნდა. ამბობდა, რომ ვინდოუსის სისტემა დაბლოკილია „საინტერესო ფილმების“ ყურებისთვის და ყველაფერი.

მართალი გითხრათ, ზოგჯერ მშობლების მესმის. როცა შვილის ლეპტოპზე ასეთ ბანერს კითხულობ და დაბლოკვის მიზეზს ხედავ, თავში მაშინვე გიჩნდება აზრი: „ოჰ, შენ ასეთი და ასეთი პრანკტერი ხარ“. და ხელები თავად სწვდება ქამარს. ალბათ ამიტომაა, რომ ბავშვებს ეშინიათ ამის შეტყობინების და სრულიად არასაჭირო საქმეების კეთება – მაგალითად, გადაიხადონ ჯარიმა თავდამსხმელს.

ასე რომ, ბანერიდან მაშინვე ირკვევა, რომ ეს არის ვირუსი. სინამდვილეში, თქვენ უბრალოდ უნდა იპოვოთ და წაშალოთ იგი. მაგრამ არის ერთი პრობლემა: ბანერი ბლოკავს სისტემას და დესკტოპზე არაფრის გაკეთება შეუძლებელია.

ჯერ სცადე. თუ ვირუსი ამის საშუალებას არ მოგცემთ, მაშინ ერთადერთი ვარიანტი რჩება - ანტივირუსით მკურნალობა USB ფლეშ დრაივიდან, რომელიც გაშვებულია BIOS-ით.

ვცდილობთ ვირუსის ამოღებას ანტივირუსული პროგრამით

ასე რომ, ვირუსის მოსაშორებლად, თქვენ უნდა ჩაწეროთ ნებისმიერი Live CD ანტივირუსული პროგრამა USB ფლეშ დრაივზე. ეს შეიძლება იყოს Dr. ვებ, Avast, Kaspersky - რაც არ უნდა იყოს.

ვინაიდან ინფიცირებული ლეპტოპი ჩაკეტილია, აქ დაგჭირდებათ სხვა კომპიუტერი. მისი დახმარებით შესაძლებელი იქნება ამ პროგრამის პოვნა და USB ფლეშ დისკზე ჩაწერა. კარგია, რომ დღეს თითქმის ყველა სახლს აქვს 2-3 კომპიუტერი/ლეპტოპი 🙂

ფლეშ დრაივი უნდა იყოს ჩამტვირთავი. იმათ. ის უნდა ჩაიწეროს სპეციალური პროგრამის გამოყენებით. მაგალითად, შეგიძლიათ.

თუ ყველაფერს სწორად გააკეთებთ, Windows-ის ნაცვლად ანტივირუსული პროგრამა დაიწყება. შემდეგ თქვენ უბრალოდ უნდა გაიაროთ ვირუსის სკანირება და დაელოდოთ მის დასრულებას.

ჩემს შემთხვევაში შემოწმებას ერთ საათზე მეტი დასჭირდა. Ან მეტი. მერე დავიღალე ლოდინით. და ლეპტოპზე შეშფოთებული ადამიანის სევდიანი მზერა და მასზე არსებული მონაცემები ვარაუდობდა, რომ რაღაც უნდა შეიცვალოს. ბოლოს ეს უბედური ჩეკი გავაუქმე და გადავწყვიტე სხვა გზა მეძებნა.

ბანერის ამოღება AntiSMS-ის გამოყენებით

არსებობს ერთი შესანიშნავი AntiSMS პროგრამა. იდეალურია გამოუცდელი მომხმარებლებისთვის, რომლებიც პირველად აწყდებიან მსგავს პრობლემას.

მისი პლიუსი ის არის, რომ ის არ სკანირებს მთელ სისტემას ვირუსებზე, მაგრამ დაუყოვნებლივ აშორებს ამ შემაშფოთებელ ბანერს. თქვენ შეგიძლიათ ხელით მოიშოროთ იგი, მაგრამ ამისათვის თქვენ უნდა იცოდეთ როგორ. AntiSMS პროგრამა ასრულებს ყველა ამ მოქმედებას ავტომატურად. შედეგად, გამოსასყიდი პროგრამის ბანერი ამოღებულია სულ რაღაც 10 წუთში.

ისევ: თქვენ უნდა ჩაწეროთ პროგრამა ჩამტვირთველ USB ფლეშ დრაივზე, ჩატვირთოთ BIOS-ით და გაუშვათ იგი. შემდეგ დაელოდეთ რამდენიმე წუთს, სანამ არ დაინახავთ შეტყობინებას, რომ ვირუსი წარმატებით მოიხსნა. გადატვირთეთ კომპიუტერი ან ლეპტოპი - ის უნდა ჩართოთ და ბანერი გაქრება. რეალურად, ჩემს შემთხვევაში, პრობლემა მოგვარდა მხოლოდ AntiSMS-ის დახმარებით.

პროგრამა უფასოა და შეგიძლიათ იხილოთ ოფიციალურ ვებსაიტზე. გარდა ამისა, უკვე გამოჩნდა ახალი პროგრამა იგივე დეველოპერებისგან - SmartFix.

ასე აღმოჩნდა კომპიუტერის ვირუსისგან განბლოკვა. სხვათა შორის, მომხმარებლის სიტყვებიდან გამომდინარე, ეს ინფექცია, სავარაუდოდ, აიყვანეს აბსტრაქტების ვებსაიტზე. გამოვიდა სარეკლამო ბანერები: როდესაც თქვენ ცდილობდით მათ დახურვას, სისტემა გაიყინა, შემდეგ მოჰყვა გადატვირთვა - და voila, როდესაც შეხვალთ Windows-ში, ის უკვე ითხოვს პაროლს. შემდეგ კი, როგორც გაირკვა, ვირუსი გველოდა საშინელი გზავნილით, რომ გადაეხადა ჯარიმა კომპიუტერის განბლოკვისთვის.

რა თქმა უნდა, არავის არ სჭირდება გადახდა - ბანერი არ გაქრება აქედან. ერთადერთი სარგებელი მხოლოდ თავდამსხმელისთვის იქნება: ის მიხვდება, რომ „ფულის შოვნის“ ეს მეთოდი მუშაობს და გააგრძელებს თავისი ვირუსების გავრცელებას ყველა სახის საიტზე.

სექტემბრის დასაწყისში დოქტორ ვებ-ის ვირუსის ლაბორატორიის ექსპერტებმა მიიღეს მავნე პროგრამის შესამჩნევი ასლი. Trojan.Bioskit.1... ზოგადად, ეს არის სტანდარტული ტროას ფუნქციონირება, რომელიც აინფიცირებს MBR-ს (დისკის ჩამტვირთველ ზონას) და ცდილობს ქსელიდან რაღაცის ჩამოტვირთვას. Doctor Web-ის სპეციალისტების მიერ ჩატარებული კვლევის შემდეგ აღმოჩნდა, რომ ის ასევე შეიცავს მექანიზმებს, რომლებიც კომპიუტერის დედაპლატის BIOS-ის დაინფიცირების საშუალებას იძლევა.

რაც უფრო მეტი დეტალი გამოვლინდა ამ მავნე პროგრამის მოქმედების შესახებ კვლევის პროცესში, მით უფრო დავრწმუნდით, რომ ეს უფრო ექსპერიმენტული განვითარება იყო, ვიდრე სრულფასოვანი მავნე პროგრამა, ან უფრო ადრე „გაჟონა“, ვიდრე ავტორს სურდა. ეს, კერძოდ, შეიძლება დადასტურდეს შემდეგი ფაქტებით:

ბრძანების ხაზის პარამეტრების შემოწმება (ტროას ამ ინსტანციის გაშვება გასაღებით -უკურნავს სისტემას);
მესამე მხარის კომუნალური საშუალებების გამოყენება;
გამორთულია ვირუსის დეაქტივაციის კოდი 50 დღის შემდეგ;
სისტემის ფაილების ინფიცირების ორი განსხვავებული ვარიანტის არსებობა (რომელთაგან მხოლოდ ერთი გამოიყენება);
შეცდომები კოდში, რომელიც ჰგავს მართლწერის შეცდომებს.

მაგრამ ყველა ეს გარემოება არანაირად არ ამცირებს ამ ტროას პოტენციურ საფრთხეს. მოდით დაუყოვნებლივ გავაკეთოთ დაჯავშნა, რომ მხოლოდ Award BIOS-ით აღჭურვილი დედაპლატები შეიძლება დაინფიცირდეს.

ინფექცია

თავდაპირველად ტროას წვეთოვანი Trojan.Bioskit.1ამოწმებს მუშაობს თუ არა რამდენიმე ჩინური ანტივირუსის პროცესები ოპერაციულ სისტემაში: თუ რომელიმე მათგანი აღმოჩენილია, ტროას ქმნის გამჭვირვალე დიალოგურ ფანჯარას, საიდანაც გამოიძახება მისი ძირითადი ფუნქცია. მერე Trojan.Bioskit.1განსაზღვრავს ოპერაციული სისტემის ვერსიას და, თუ ის არის Windows 2000 ან უფრო მაღალი (გარდა Windows Vista-ისა), აგრძელებს ინფექციას. ტროას ამოწმებს ბრძანების ხაზის სტატუსს, საიდანაც მისი გაშვება შესაძლებელია სხვადასხვა გადამრთველებით:

-დ- ეს გასაღები არ მუშაობს (ეს ფუნქცია სავარაუდოდ ამოღებულია "გამოშვების build"-ში);
-ვ- სისტემის დაინფიცირება (ნაგულისხმევად გამოიყენება);
-უ- სისტემის განკურნება (მათ შორის MBRდა BIOS).

რამდენიმე ფაილი შეფუთულია dropper-ის რესურსებში:

cbrom.exe
hook.rom
ჩემი.sys
flash.dll
bios.sys

მუშაობის პროცესში საწვეთური ხსნის და ინახავს დრაივერს მყარ დისკზე % windir% \ system32 \ drivers \ bios.sys... თუ სისტემას აქვს მოწყობილობა \\. \ MyDeviceDriver(გამოკვლეულ საწვეთურს არ აქვს დრაივერი, რომელიც ახორციელებს ასეთ მოწყობილობას), ტროას ბიბლიოთეკა დისკზე გადადის. % windir% \ flash.dllდა, სავარაუდოდ, მუდმივად ცდილობს მის დანერგვას სისტემურ პროცესებში services.exe, svchost.exeდა explorer.exe... ამ ბიბლიოთეკის მიზანია მძღოლის გაშვება bios.sysრეგულარული საშუალებები ( სამსახურის კონტროლის მენეჯერი) სერვისის შესაქმნელად ბიოსი... როდესაც ბიბლიოთეკა განიტვირთება, ეს სერვისი წაიშლება. თუ \\.\ MyDeviceDriver მოწყობილობა არ არის, ტროას დაინსტალირდება სისტემაში beep.sys სისტემის დრაივერის გადაწერით. დაწყების შემდეგ, beep.sys აღდგება ადრე შექმნილი ასლიდან. ამ წესის ერთადერთი გამონაკლისი კეთდება Microsoft Windows 7-ისთვის: ამ სისტემაში წვეთოვანი ბიბლიოთეკა დისკზე გადმოდის. % windir% \ flash.dllდა თვითონ იტვირთება.

შემდეგ dropper ინახავს rootkit-ის დრაივერს C: დისკის ძირში ჩემი.sys... თუ მძღოლი bios.sysვერ დაიწყო ან BIOSკომპიუტერი განსხვავდება ჯილდოტროას აგრძელებს ინფიცირებას MBR... ფაილი ჩაედინება დისკზე % temp% \ hook.rom, რომელიც არის სრულფასოვანი გაფართოების მოდული ( PCI გაფართოების ROM). მაგრამ ამ ეტაპზე ის გამოიყენება მხოლოდ როგორც კონტეინერი, საიდანაც ხდება მონაცემების ამოღება დისკზე შემდგომი ჩაწერისთვის. ამის შემდეგ, მყარი დისკის პირველი 14 სექტორი გადაიწერება, მათ შორის MBR... Ორიგინალური MBRრჩება მერვე სექტორში.

My.sys მძღოლი

დღევანდელი სტანდარტებით, ეს საკმაოდ პრიმიტიული დრაივერია: ის წყვეტს სისტემის დრაივერს disk.sysდამმუშავებლები IRP_MJ_READ, IRP_MJ_WRITEდა IRP_MJ_DEVICE_CONTROL, სადაც:

IRP_MJ_READაბრუნებს ნულებს მყარი დისკის პირველი 63 სექტორის ნაცვლად;
IRP_MJ_WRITEარ იძლევა პირველ 63 სექტორში ჩაწერის საშუალებას. ამავდროულად, ვირუსი ცდილობს მის წვეთოვანს დაუშვას MBR და სხვა სექტორების გადაწერა, მაგრამ კოდში აშკარა შეცდომის გამო, ხრიკი არ მუშაობს. ამრიგად, ტროას ავტორი ნებას რთავს გადაწერას 0x14(20) სექტორები და წვეთოვანი წერს მხოლოდ 0xE (14);
IRP_MJ_DEVICE_CONTROLბრუნდება STATUS_ წარუმატებელითხოვნების საპასუხოდ IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EXდა IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.

BIOS ინფექცია

მაგრამ დავუბრუნდეთ საქმეს, როცა მძღოლი bios.sysახერხებს ამოცნობას ჯილდო BIOS... უნდა ითქვას, რომ სწორედ ამ დრაივერის არსებობა განასხვავებს ამ მავნე პროგრამას მსგავსი ტროიანების დიდი სიისგან, რომლებიც აინფიცირებენ MBR.

აღნიშნული მძღოლი არის ძალიან პატარა და აქვს შეშინებული გამანადგურებელიპოტენციალი. იგი ახორციელებს სამ მეთოდს:

იდენტიფიცირება ჯილდო BIOS(გზაში, განსაზღვრეთ მისი გამოსახულების ზომა და, რაც მთავარია, მე / ოპორტი, რომლის მეშვეობითაც შეგიძლიათ პროგრამულად აიძულოთ გენერირება SMI (სისტემის მართვის შეფერხება) და ამით შეასრულეთ კოდი რეჟიმში SMM);
სურათის შენახვა BIOSდისკიდან ფაილზე C: \ bios.bin;
სურათის დაწვა BIOSფაილიდან C: \ bios.bin.

მიიღეთ წვდომა და მით უმეტეს, გადაწერეთ მიკროსქემა BIOS- ამოცანა არ არის ტრივიალური. ამისათვის თქვენ ჯერ უნდა მოაწყოთ ურთიერთქმედება დედაპლატის ჩიპსეტთან, რათა დაუშვათ ჩიპზე წვდომა, შემდეგ თქვენ უნდა დაადგინოთ თავად ჩიპი და გამოიყენოთ მისთვის ნაცნობი მონაცემთა წაშლის/ჩაწერის პროტოკოლი. მაგრამ ამ მავნე პროგრამის ავტორმა უფრო მარტივი გზა აიღო და ყველა ეს დავალება საკუთარ თავზე გადაიტანა. BIOS... მან ისარგებლა მეტსახელით ცნობილი ჩინელი მკვლევარის მუშაობით ისელორდი... სამუშაო გაკეთდა ჯერ კიდევ 2007 წელს: შემდეგ, კომუნალური მომსახურების გაანალიზებისას Winflashამისთვის ჯილდო BIOSმიკროსქემის ციმციმის მარტივი გზა აღმოაჩინეს თავად მოწოდებული სერვისის საშუალებით BIOSვ SMM (სისტემის მართვის რეჟიმი). პროგრამის კოდი SMMვ SMRAMარ ჩანს ოპერაციული სისტემისთვის (თუ BIOSსწორად არის დაწერილი, მაშინ ამ მეხსიერებაზე წვდომა იბლოკება მისი მიერ) და შესრულებულია მისგან დამოუკიდებლად. ამ კოდის დანიშნულება ძალიან მრავალფეროვანია: ეს არის დედაპლატის შესაძლებლობების ემულაცია, რომლებიც არ არის დანერგილი აპარატურაში, ტექნიკის შეცდომების მართვა, კვების რეჟიმების მართვა, სერვისის ფუნქციები და ა.შ.

თავად სურათის შესაცვლელად BIOSეს მავნე პროგრამა იყენებს უტილიტას cbrom.exe(დან Phoenix Technologies), რომელიც, ისევე როგორც ყველა სხვა ფაილი, შეიცავს თავის რესურსებს. ამ უტილიტის გამოყენებით, ტროასი შეაქვს თავის hook.rom მოდულს სურათში როგორც ISA BIOS ROM... მერე Trojan.Bioskit.1ავალებს თავის მძღოლს განაახლოს BIOSგანახლებული ფაილიდან.

შემდეგ ჯერზე, როდესაც კომპიუტერი გადაიტვირთება ინიციალიზაციის პროცესში BIOSდარეკავს ყველა ხელმისაწვდომს PCI გაფართოების ROMმათ შორის hook.rom... ამ მოდულის მავნე კოდი ყოველ ჯერზე ამოწმებს ინფექციის არსებობას MBRდა საჭიროების შემთხვევაში აღადგენს მას. უნდა აღინიშნოს, რომ სისტემაში ყოფნა ჯილდო BIOSსაერთოდ არ იძლევა გარანტიას ამ ტროიანთან ინფექციის შესახებ. ასე რომ, ვირუსის ლაბორატორიაში შემოწმებული სამი დედაპლატიდან მხოლოდ ერთმა მოახერხა ინფიცირება, ხოლო დანარჩენ ორში უბრალოდ არ იყო საკმარისი ადგილი BIOS მეხსიერებაში ახალი მოდულის დასაწერად.

MBR ინფექცია

ტროას კოდი ათავსებს MBR-ში, რომლის მთავარი ამოცანაა ფაილების დაინფიცირება winlogon.exe(Windows 2000 და Windows XP ოპერაციულ სისტემებზე) ან wininit.exe(Windows 7). ამ პრობლემის მოსაგვარებლად Trojan.Bioskit.1აქვს საკუთარი პარსერი NTFS / FAT32... Trojan ინახავს გაშვების მრიცხველს, რომელიც განახლდება დღეში ერთხელ. 50 დღეში მოსალოდნელია ინფიცირებული მოდულის დეაქტივაცია: ის ისე შეიცვლება, რომ ვირუსის კოდი კონტროლს ვეღარ მოიპოვებს. მაგრამ ტროას ამ ვერსიაში ეს მექანიზმი გამორთულია. სულ Trojan.Bioskit.1შეიცავს shellcode-ის ორ ვერსიას, რომელთაგან მხოლოდ ერთია ამჟამად აქტიური.

დასკვნა

ძნელია არ შეაფასო ასეთი საფრთხეები, განსაკუთრებით იმის გათვალისწინებით, რომ მომავალში შეიძლება გამოჩნდეს ამ ტროას ცხენის უფრო მოწინავე მოდიფიკაციები ან მსგავსი ალგორითმის მიხედვით მოქმედი ვირუსები. ამჟამად Dr.Web ანტივირუსულ პროგრამას დაემატა MBR, სისტემის ფაილების და ვირუსის ფაილის კომპონენტების გამოვლენა და მკურნალობა. თუ ამ საფრთხის აღმოჩენისა და მკურნალობის შემდეგ სისტემა კვლავ დაინფიცირდება Trojan.Bioskit.1, ინფექციის წყარო, სავარაუდოდ, ინფიცირებული კომპიუტერის BIOS-ია. Doctor Web სპეციალისტები აგრძელებენ პრობლემაზე მუშაობას.

ტესტირება - როგორ დარეკოთ კომპიუტერიდან მობილურ ტელეფონზე უფასოდ

როგორ აღვადგინო ენის ზოლი?

როგორ აღვადგინოთ Packard Bell ლეპტოპი ქარხნულ პარამეტრებზე ლეპტოპის ქარხნულ პარამეტრებზე გადატვირთვის ინსტრუქციები

Ontrack EasyRecovery Professional მიმოხილვა აღადგინეთ წაშლილი ფაილები EasyRecovery Professional-ით