Исследователи продемонстрировали, как создавать руткиты, которые способны
пережить форматирование винчестера, поскольку они внедряют вредоносный код в
низкоуровневые системные инструкции на целевых машинах.
Специалисты Core Security Technologies использовали эту технологию для того,
чтобы внедрить руткиты на два компьютера, один – под управлением OpenBSD, другой
– под управлением Windows. Так как инфекция поражает BIOS машины, она остается
на ней даже после переустановки операционной системы и замены жесткого диска.
Хотя эксперты занимаются руткитами на базе BIOS уже как минимум три года,
более ранние способы позволяли атаковать только некоторые типы BIOS, а
конкретнее - те из них, что соответствовали открытому стандарту ACPI.
Предложенный исследователями Core метод позволяет инфицировать систему
практически любого типа.
Безусловно, внедрить код в BIOS - задача не из легких. Для этого потребуется
физический доступ к машине или такой эксплоит, который позволит иметь ничем не
ограниченный уровень доступа. Тем не менее, представленное на конференции
CanSecWest исследование наглядно демонстрирует, что с течением времени очищать
зараженные компьютеры будет все труднее.
