drw обновления

Пользователи «В Контакте» под прицелом злоумышленников, троянец, заражающий BIOS компьютера, и другие вирусные события сентября 2011 года



Сентябрь 2011 года оказался достаточно тихим и не принес сколь-нибудь серьезных всплесков вирусной активности: по всей видимости, создатели вредоносного ПО, вернувшись с летнего отдыха, решили посвятить себя более прагматичным занятиям. Тем не менее, в сентябре был обнаружен уникальный по своей архитектуре троянец, способный заражать BIOS персональных компьютеров. Также широкое распространение получил новый бэкдор для Mac OS X. Наконец, в сентябре значительно увеличилось число фишинговых атак на пользователей социальных сетей.

Спамеры делят деньги Каддафи

В связи с недавними политическими событиями в Ливии участились случаи мошеннических почтовых рассылок, в которых злоумышленники предлагают своим жертвам воспользоваться деньгами c замороженных счетов семьи Каддафи.

Схема мошенничества вполне стандартна для «нигерийских писем». Ничего принципиально нового спамеры придумать пока так и не смогли, однако очевидно, что они продолжают следить за политической ситуацией и оперативно меняют тематику своих посланий в соответствии с новыми реалиями.

Trojan.Bioskit.1 заражает BIOS компьютера

В начале сентября в руки экспертов вирусной лаборатории компании «Доктор Веб» попал примечательный экземпляр вредоносной программы, получившей название . Кроме всего прочего, в него заложены механизмы, позволяющие заразить BIOS материнской платы компьютера, если он произведен компанией Award Software.

Первоначально дроппер троянца Trojan.Bioskit.1 проверяет, запущены ли в операционной системе процессы нескольких китайских антивирусов. Если таковые обнаруживаются, то вредоносная программа создает прозрачное диалоговое окно, из которого осуществляется вызов ее главной функции. Затем Trojan.Bioskit.1 определяет версию операционной системы и, если ею оказывается ОС Windows 2000 или выше (за исключением Windows Vista), продолжает заражение.

В случае если BIOS компьютера отличается от Award, троянец заражает Master Boot Record, перезаписывая первые 14 секторов жесткого диска, включая MBR. Оригинальный MBR сохраняется в 8 секторе. Если же троянцу удается опознать Award BIOS, в дело вступает упакованный в ресурсах дроппера драйвер bios.sys, обладающий пугающим деструктивным функционалом. В нем реализовано три метода:

source