Astăzi nu costă nimic să prinzi un virus pe un computer. Este suficient să accesați un site discutabil sau să deschideți un fișier necunoscut - și ați terminat. Acum există o mulțime, dar unul dintre cei mai insidioși viruși este bannerul ransomware. În primul rând, pentru că blochează aproape complet funcționarea PC-ului. Prin urmare, un al doilea computer sau laptop este de obicei indispensabil aici.
Deci, datele inițiale sunt următoarele. Am fost abordat cu o solicitare de a ajuta la rezolvarea laptopului. După repornirea acestuia, brusc, la intrarea în Windows, sistemul a început să ceară o parolă. Deși nu a pus-o nimeni (ieri totul a fost pornit fără parolă). Utilizatorul a încercat toate parolele sale, dar bineînțeles că nu s-au potrivit.
De fapt, aceste informații nu mi-au spus prea multe - m-am gândit că va trebui să ocolesc parola. A fost inutil să trec prin unele combinații, așa că nu am introdus nimic și doar am apăsat pe Enter. Și apoi - voila, sistemul a pornit. Ura, s-a rezolvat problema? Deloc - a fost chiar mai bine.
Sunteți blocat, plătiți o amendă!
După pornirea laptopului, pe tot ecranul a apărut un banner uriaș. S-a spus că sistemul Windows a fost blocat pentru vizionarea de „filme interesante” și toate astea.
Sincer să fiu, uneori îmi înțeleg părinții. Când citești un astfel de banner pe laptopul copilului tău și vezi motivul blocajului, imediat îți apare în cap gândul: „O, ești așa și așa un farsător”. Și mâinile înseși ajung la centură. Acesta este probabil motivul pentru care copiilor le este frică să raporteze și să facă lucruri complet inutile - de exemplu, să plătească o amendă unui intrus.
Deci, devine imediat clar din banner că acesta este un virus. De fapt, trebuie doar să îl găsiți și să îl ștergeți. Dar există o problemă: bannerul blochează sistemul și nu se poate face nimic pe desktop.
Încercați mai întâi. Dacă virusul nu vă permite să faceți acest lucru, atunci rămâne singura opțiune - tratamentul cu un utilitar antivirus de pe o unitate flash USB lansată prin BIOS.
Încercarea de a elimina virusul cu un utilitar antivirus
Deci, pentru a scăpa de virus, trebuie să inscripționați orice utilitar antivirus Live CD pe o unitate flash USB. Ar putea fi Dr. Web, Avast, Kaspersky - orice.
Deoarece laptopul infectat este blocat, veți avea nevoie de un alt PC aici. Cu ajutorul acestuia, va fi posibil să găsiți acest utilitar și să îl scrieți pe o unitate flash USB. Bine că astăzi aproape fiecare casă are 2-3 calculatoare/laptop-uri 🙂
Unitatea flash trebuie să fie bootabilă. Acestea. trebuie înregistrată folosind un program special. De exemplu, poți.
Dacă faceți totul corect, utilitarul antivirus va porni în loc de Windows. Apoi, trebuie doar să rulați o scanare antivirus și să așteptați ca aceasta să se termine.
În cazul meu, verificarea a durat mai mult de o oră. Sau mai mult. Apoi m-am săturat să aștept. Iar aspectul trist al unei persoane îngrijorate de laptopul său și datele de pe acesta sugerau că ceva trebuie schimbat. Până la urmă, am anulat acest cec nefericit și am decis să caut o altă cale.
Eliminarea unui banner folosind AntiSMS
Există un excelent utilitar AntiSMS. Perfect pentru utilizatorii fără experiență care se confruntă pentru prima dată cu o problemă similară.
Plusul său este că nu scanează întregul sistem pentru viruși, ci elimină imediat acest banner enervant. Puteți scăpa de el manual, dar pentru asta trebuie să știți cum. Utilitarul AntiSMS efectuează automat toate aceste acțiuni. Drept urmare, bannerul ransomware este eliminat în doar 10 minute.
Din nou: trebuie să scrieți utilitarul pe o unitate flash USB bootabilă, să porniți prin BIOS și să îl rulați. Apoi așteptați câteva minute până când vedeți un mesaj că virusul a fost eliminat cu succes. Reporniți computerul sau laptopul - ar trebui să se pornească și bannerul va dispărea. De fapt, în cazul meu, problema a fost rezolvată doar cu ajutorul AntiSMS.
Utilitarul este gratuit și poate fi găsit pe site-ul oficial. În plus, a apărut deja un nou program de la aceiași dezvoltatori - SmartFix.
Așa s-a dovedit a debloca computerul de virus. Apropo, din cuvintele utilizatorului, această infecție a fost cel mai probabil preluată de pe site-ul web de rezumate. Au apărut bannere publicitare: când ați încercat să le închideți, sistemul a înghețat, apoi a urmat o repornire - și voilà, când vă conectați la Windows, vă solicită deja o parolă. Și apoi, după cum s-a dovedit, un virus ne aștepta cu un mesaj formidabil de a plăti o amendă pentru deblocarea PC-ului.
Desigur, nimeni nu trebuie să plătească - bannerul nu va dispărea din asta. Singurul beneficiu va fi doar pentru un atacator: va înțelege că această metodă de „a face bani” funcționează și va continua să-și răspândească virușii pe tot felul de site-uri.
La începutul lunii septembrie, experții laboratorului de viruși al Doctor Web au primit o copie notabilă a programului rău intenționat denumit Troian.Bioskit.1... În general, este un troian standard în funcționalitate care infectează MBR (zona de pornire a unui disc) și încearcă să descarce ceva din rețea. În urma cercetărilor efectuate de specialiștii Doctor Web, s-a dovedit că acesta conține și mecanisme care permit infectarea BIOS-ului plăcii de bază a unui computer.
Cu cât au fost dezvăluite mai multe detalii despre funcționarea acestui program rău intenționat în timpul procesului de cercetare, cu atât ne-am convins mai mult că a fost mai mult o dezvoltare experimentală decât un program rău intenționat cu drepturi depline, sau că a „scăpat” mai devreme decât și-ar dori autorul. Acest lucru, în special, poate fi evidențiat de următoarele fapte:
- Verificarea parametrilor liniei de comandă (lansarea acestei instanțe a troianului cu cheia -u vindecă sistemul);
- utilizarea utilităților terțe;
- codul de dezactivare a virusului dezactivat după 50 de zile;
- prezența a două variante diferite de infectare a fișierelor de sistem (dintre care este folosită doar una);
- erori în cod care arată ca greșeli de ortografie.
Dar toate aceste circumstanțe nu diminuează în niciun fel potențialul pericol al acestui troian. Să facem imediat o rezervare că numai plăcile de bază echipate cu BIOS Award pot fi infectate.
Infecţie
Inițial un dropper al troianului Troian.Bioskit.1 verifică dacă în sistemul de operare rulează procesele mai multor antivirusuri chinezești: dacă sunt detectați, troianul creează o casetă de dialog transparentă din care este apelată funcția sa principală. Atunci Troian.Bioskit.1 determină versiunea sistemului de operare și, dacă este Windows 2000 sau o versiune ulterioară (cu excepția Windows Vista), continuă infecția. Troianul verifică starea liniei de comandă, de pe care poate fi lansată cu diferite comutatoare:
- -d- această cheie nu funcționează (această funcție a fost probabil eliminată în „build-ul de lansare”);
- -w- infecta sistemul (utilizat implicit);
- -u- vindeca sistemul (inclusiv MBRși BIOS).
Mai multe fișiere sunt împachetate în resursele dropperului:
- cbrom.exe
- cârlig.rom
- my.sys
- flash.dll
- bios.sys
În timpul activității sale, dropperul despachetează și salvează driverul pe hard disk % windir% \ system32 \ drivere \ bios.sys... Dacă sistemul are un dispozitiv \\. \ MyDeviceDriver(droperul investigat nu are un driver care implementează un astfel de dispozitiv), troianul aruncă biblioteca pe disc % windir% \ flash.dllși, cel mai probabil, încearcă în mod constant să o implementeze în procesele de sistem servicii.exe, svchost.exeși explorer.exe... Scopul acestei biblioteci este lansarea driverului bios.sys mijloace obișnuite ( manager de control al serviciului) pentru a crea un serviciu bios... Când biblioteca este descărcată, acest serviciu este eliminat. Dacă dispozitivul \\.\ MyDeviceDriver este absent, troianul este instalat pe sistem prin suprascrierea driverului de sistem beep.sys. Odată pornit, beep.sys este restaurat dintr-o copie creată anterior. Singura excepție de la această regulă este făcută pentru Microsoft Windows 7: în acest sistem, dropper-ul șterge biblioteca pe disc. % windir% \ flash.dllși îl încarcă singur.
Apoi dropper-ul salvează driverul rootkit-ului în rădăcina unității C: my.sys... Dacă şoferul bios.sys nu a reușit să pornească sau BIOS computerul este diferit de Adjudecare, troianul continuă să infecteze MBR... Un fișier este șters pe disc % temp% \ hook.rom, care este un modul de expansiune cu drepturi depline ( ROM de expansiune PCI). Dar în această etapă, este folosit doar ca un container din care sunt extrase datele pentru scrierea ulterioară pe disc. După aceea, primele 14 sectoare ale hard diskului sunt suprascrise, inclusiv MBR... Original MBR rămâne în sectorul opt.
Driverul My.sys
După standardele actuale, acesta este un driver destul de primitiv: interceptează de la driverul de sistem disc.sys manipulatorii IRP_MJ_READ, IRP_MJ_WRITEși IRP_MJ_DEVICE_CONTROL, în care:
- IRP_MJ_READ returnează zerouri în loc de primele 63 de sectoare ale hard diskului;
- IRP_MJ_WRITE nu permite scrierea la primele 63 de sectoare. În același timp, virusul încearcă să permită dropper-ului său să suprascrie MBR-ul și alte sectoare, dar din cauza unei erori evidente în cod, trucul nu funcționează. Astfel, autorul troianului permite suprascrierea 0x14(20) sectoare, iar dropperul scrie numai 0xE (14);
- IRP_MJ_DEVICE_CONTROL se intoarce STATUS_NERECUS ca răspuns la solicitări IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EXși IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.
infecție cu BIOS
Dar să revenim la cazul când șoferul bios.sys reușește să identifice BIOS premiat... Trebuie spus că prezența acestui driver este cea care distinge acest program rău intenționat de lista mare de troieni similari care infectează MBR.
Șoferul menționat este foarte mic și are un înspăimântător distructiv potenţial. Implementează trei metode:
- Identifica BIOS premiat(pe parcurs, determinați dimensiunea imaginii sale și, cel mai important, I/O port prin care puteți forța programatic generarea SMI (Întreruperea managementului sistemului) și astfel executați codul în modul SMM);
- Salvează imaginea BIOS la disc la fișier C: \ bios.bin;
- Arde imaginea BIOS din fisier C: \ bios.bin.
Obțineți acces și cu atât mai mult suprascrieți microcircuitul cu BIOS- sarcina nu este banala. Pentru a face acest lucru, mai întâi trebuie să organizați interacțiunea cu chipsetul plăcii de bază pentru a permite accesul la cip, apoi trebuie să identificați cipul în sine și să aplicați protocolul de ștergere/scriere a datelor familiar. Dar autorul acestui program rău intenționat a luat o cale mai ușoară, transferând toate aceste sarcini asupra lui. BIOS... A profitat de munca unui cercetător chinez cunoscut sub porecla Icelord... Lucrarea a fost făcută încă din 2007: apoi, la analiza utilității Winflash pentru BIOS premiat o modalitate simplă de a intermitent microcircuitul a fost descoperită printr-un serviciu furnizat de ea însăși BIOS v SMM (Modul de gestionare a sistemului). Cod program SMM v SMRAM nu este vizibil pentru sistemul de operare (dacă BIOS este corect scris, apoi accesul la această memorie este blocat de aceasta) și se execută independent de aceasta. Scopul acestui cod este foarte divers: este emularea capabilităților plăcii de bază care nu sunt implementate în hardware, gestionarea erorilor hardware, gestionarea modurilor de alimentare, funcții de service etc.
Pentru a modifica imaginea în sine BIOS acest program rău intenționat folosește utilitarul cbrom.exe(din Tehnologii Phoenix), care, ca toate celelalte fișiere, conține resursele sale. Folosind acest utilitar, troianul își injectează modulul hook.rom în imagine ca ISA BIOS ROM... Atunci Troian.Bioskit.1îi cere șoferului să se refacă BIOS din fișierul actualizat.
Data viitoare când computerul repornește în timpul procesului de inițializare BIOS va suna pe toate disponibile ROM de expansiune PCI inclusiv cârlig.rom... Codul rău intenționat din acest modul verifică de fiecare dată dacă există infecție MBRși resetează-l dacă este necesar. Trebuie remarcat faptul că prezența în sistem BIOS premiat nu garantează deloc infecția cu acest troian. Așadar, dintre cele trei plăci de bază testate în laboratorul de virusuri, doar una a reușit să infecteze, iar în celelalte două, pur și simplu nu era suficient spațiu în memoria BIOS pentru a scrie un nou modul.
Infecția cu MBR
Troianul plasează codul în MBR, a cărui sarcină principală este infectarea fișierelor winlogon.exe(pe sistemele de operare Windows 2000 și Windows XP) sau wininit.exe(Windows 7). Pentru a rezolva această problemă Troian.Bioskit.1 are propriul analizor NTFS/FAT32... Troianul menține un contor de lansare care este actualizat o dată pe zi. În 50 de zile, modulul infectat este de așteptat să fie dezactivat: acesta va fi modificat în așa fel încât codul virusului să nu mai câștige controlul. Dar în această versiune a troianului, acest mecanism este dezactivat. Total Troian.Bioskit.1 include două versiuni shellcode, dintre care doar una este activă în prezent.
Concluzie
Este greu de subestimat pericolul unor astfel de amenințări, mai ales având în vedere că în viitor pot apărea modificări mai avansate ale acestui cal troian sau viruși care funcționează după un algoritm similar. În prezent, la software-ul antivirus Dr.Web a fost adăugată detectarea și tratarea MBR, a fișierelor de sistem și a componentelor fișierelor viruși. Dacă, după detectarea și tratarea acestei amenințări, sistemul devine din nou infectat Troian.Bioskit.1, sursa infecției este cel mai probabil un BIOS al computerului infectat. Specialiștii Doctor Web continuă să lucreze la această problemă.
