Новые руткиты выживают и после очистки жесткого диска
25.03.2009
Исследователи продемонстрировали, как создавать руткиты, которые способны пережить форматирование винчестера, поскольку они внедряют вредоносный код в низкоуровневые системные инструкции на целевых машинах.
Специалисты Core Security Technologies использовали эту технологию для того, чтобы внедрить руткиты на два компьютера, один – под управлением OpenBSD, другой – под управлением Windows. Так как инфекция поражает BIOS машины, она остается на ней даже после переустановки операционной системы и замены жесткого диска.
Хотя эксперты занимаются руткитами на базе BIOS уже как минимум три года, более ранние способы позволяли атаковать только некоторые типы BIOS, а конкретнее - те из них, что соответствовали открытому стандарту ACPI. Предложенный исследователями Core метод позволяет инфицировать систему практически любого типа.
Безусловно, внедрить код в BIOS - задача не из легких. Для этого потребуется физический доступ к машине или такой эксплоит, который позволит иметь ничем не ограниченный уровень доступа. Тем не менее, представленное на конференции CanSecWest исследование наглядно демонстрирует, что с течением времени очищать зараженные компьютеры будет все труднее.
