Вирус может попасть в BIOS?

[Bustle]

Вопрос в названии темы. В инете то почитал но там как-то фигово написано.
Ну и у меня вопрос. Как вирус может проникнуть в биос? Как потом восстановить биос? Прошивкой?
А вообще, по возможности, расскажите о фирусах в биосе, поподробней.

Сам я только углубляюся в комп, так что сильно не бейте

[Utkin]

Да может, но они практически не получили распрастранения. В основном потому что не все БИОС позволяют прямую перепрошивку, так сказать не отходя от кассы. А также потому что разные фирмы производители по-разному делают это. Считайте что это был промежуточный этап развития вирусных технологий.

[Tronix]

В общем случае - не может. Я, например, не слышал ни об одном существующем BIOS вирусе. Да, было много вирусов, которые просто "запарывали" (стирали) BIOS и компьютер переставал загружаться, но чтобы код вируса внедрялся в BIOS и компьютер продолжал работать - не, такого даже во времена MSDOS'а не помню.

Сейчас тем более не актуально, потому что основной код BIOS написан для 16-битного реального режима работы процессора (прерывания) и получить к ним непосредственный доступ из защищенного режима (современных ОС) проблематично. Теоретически можно считать прошивку из BIOS, распаковать ее, подменить в ней по какой-либо сигнатуре уход на выполнения своего участка кода, запаковать обратно, пересчитать контрольную сумму и залить в БИОС. Но! Что будет делать этот новый зашитый в BIOS участок кода? Ну можно, например, если дата равна 12.12.2012 стереть весь жесткий диск (забить нулями), или вывести на экран стишок, но это не будет вирусом - нет процедуры саморазмножения.

А если встраивать процедуру саморазмножения, то нужно писать свой код для чтения и записи предполагаемой файловой системы на компьютере, скорее всего для NTFS, что займет очень много места (все-таки деревья там и все такое, это ж не FAT), потом создавать файл вируса EXE где-то на файловой системе, причем тело EXE файло тоже долно быть зашито в BIOS; прописываться в Win. Короче такой кусок может тупо не влезть в BIOS, даже современный 8 мегабитный.

Поэтому сказки все это.

[Bustle]

Utkin, Tronix спасибо !

[Utkin]

Цитата:

Сообщение от Tronix

Сейчас тем более не актуально, потому что основной код BIOS написан для 16-битного реального режима работы процессора (прерывания) и получить к ним непосредственный доступ из защищенного режима (современных ОС) проблематично.

Да ладно? У меня есть утилитка для моей мамки по перепрошивке БИОС. Работает под виндой . Наверно меня надули....

Цитата:

Но! Что будет делать этот новый зашитый в BIOS участок кода? Ну можно, например, если дата равна 12.12.2012 стереть весь жесткий диск (забить нулями), или вывести на экран стишок, но это не будет вирусом - нет процедуры саморазмножения.

Можно писаться на дискеты . Код маленький - килобайты.

Цитата:

А если встраивать процедуру саморазмножения, то нужно писать свой код для чтения и записи предполагаемой файловой системы на компьютере, скорее всего для NTFS,

Помимо дискет - многие компы позволяют загрузку по сети - шансы мизерные, но они существуют.

Цитата:

Поэтому сказки все это.

Очень опрометчивое замечание.

[Tronix]

Цитата:

Сообщение от Utkin

Да ладно? У меня есть утилитка для моей мамки по перепрошивке БИОС. Работает под виндой . Наверно меня надули....

Прошить БИОС под виндой как два пальца об асфальт. Я же не про это писал, я писал, что если внедрить в биос какой-то свой код, например в одно из прерываний, пускай int 10h, то вызвать его из-под защищенного режима весьма проблемно, чтобы код отработал. Я про это, а не про перепрошивку.

Цитата:

Сообщение от Utkin

Можно писаться на дискеты . Код маленький - килобайты.
Помимо дискет - многие компы позволяют загрузку по сети - шансы мизерные, но они существуют.

Дискеты, загрузка по сети... Ну да, есть шанс распространения таким образом, чуть менее 1%, угу.

Цитата:

Сообщение от Utkin

Очень опрометчивое замечание.

Ссылку на какую-нибуть вирус-педию с описанием BIOS вируса в студию пожалуйста.

[Utkin]

http://habrahabr.ru/blogs/infosecurity/55498/
Конечно, чистая теоретика, но....

[Tronix]

Цитата:

Сообщение от Utkin

http://habrahabr.ru/blogs/infosecurity/55498/
Конечно, чистая теоретика, но....

Чистая теоретика. Какие-то пруфы есть на конференцию где это все читалось в виде доклада и тд, да вот только ни сорцов, ни видео демонстрирующее работу - нет. Поэтому не знаю что это такое, могу лишь предположить, что взяли конкретную модель материнской платы, написали утилиту, которая позволяет заливать (прошивать) BIOS для этой конкретной платы и работает только с этой платой. Ну и конечно в ручную модифицировали БИОС и встроили туда руткит (НЕ вирус). А ссылок на реальные BIOS вирусы так и нет. Такие дела...

[Stilet]

Цитата:

но чтобы код вируса внедрялся в BIOS и компьютер продолжал работать - не, такого даже во времена MSDOS'а не помню.

Вообще-то любители поболтать расбрызгивали легенды о ужасных вирусах в БИОСе, но я лично тоже не видел их эффект ниразу. Да и запоротые БИОСы впрочем тоже.

[Tronix]

Цитата:

Сообщение от Stilet

Да и запоротые БИОСы впрочем тоже.

Нет, ну запоротые то бывали, во времена разгула Win.Cih, но конечно, это работало далеко не на всех чипсетах. Только на некоторых... Но иногда все-таки было, не отнять...