Bios semptomlarındaki virüs nasıl tedavi edilir. Virüsü bir antivirüs yardımcı programı ile kaldırmaya çalışıyoruz

17.11.2019

Ayrıca oku

Samsung Galaxy S8 ve S8 Plus için kamera ipuçları

Samsung Galaxy J1 ve Samsung Galaxy J3 - iki ana akım akıllı telefonun karşılaştırması

Akıllı telefonlar ve tabletler için böyle görünüyor

Akıllı telefon üretici yazılımı Samsung GT-I9300 Galaxy S III Telefon üretici yazılımı samsung galaxy s3 gt i9300

Samsung Akıllı Telefon Döngüsel Yeniden Başlatma: Nedenler ve Çözümler

Bugün, bir bilgisayarda virüs yakalamanın hiçbir maliyeti yoktur. Şüpheli bir siteye gitmek veya açmak yeterlidir bilinmeyen dosya- ve bitirdin. Şimdi birçoğu var, ancak en sinsi virüslerden biri banner fidye yazılımıdır. Her şeyden önce, PC'nin çalışmasını neredeyse tamamen engellediği için. Bu nedenle, ikinci bir bilgisayar veya dizüstü bilgisayar olmadan yapmak genellikle imkansızdır.

Yani, ilk veriler aşağıdaki gibidir. Dizüstü bilgisayarı düzenlememe yardım etmemi istediler. Yeniden başlattıktan sonra, Windows'a giriş yaptığımda aniden sistem bir şifre sormaya başladı. Kimse ayarlamamasına rağmen (dün her şey şifre olmadan açıldı). Kullanıcı tüm şifrelerini denedi, ancak bunlar elbette uymadı.

Aslında bu bilgi bana pek bir şey söylemedi - şifreyi atlamak zorunda kalacağımı düşündüm. Bazı kombinasyonları gözden geçirmek faydasızdı, bu yüzden hiçbir şey girmedim ve sadece Enter'a bastım. Ve sonra - voila, sistem açıldı. Vay, sorun çözüldü mü? Hiç de değil - daha da iyiydi.

Engellendin, ceza öde!

Dizüstü bilgisayarı açtıktan sonra, masaüstünde tam ekran olarak büyük bir afiş belirdi. Windows sisteminin "ilginç filmler" izlediği için bloke edildiğini söyledi.

Dürüst olmak gerekirse, bazen ebeveynleri anlıyorum. Çocuğunuzun dizüstü bilgisayarında böyle bir afişi okuyup engellemenin nedenini gördüğünüzde, kafanızda hemen "Ah, sen falan şakacısın" düşüncesi belirir. Ve ellerin kendisi kemere uzanır. Muhtemelen çocukların bunu bildirmekten ve tamamen gereksiz şeyler yapmaktan korkmalarının nedeni budur - örneğin, bir saldırgana para cezası ödemek.

Yani, pankarttan bunun bir virüs olduğu hemen anlaşılıyor. Aslında, onu bulmanız ve kaldırmanız yeterlidir. Ancak bir sorun var: afiş sistemi engelliyor ve masaüstünde hiçbir şey yapılamaz.

Her şeyden önce, denemelisin. Virüs bunu yapmanıza izin vermiyorsa, o zaman tek seçenek kalır - BIOS aracılığıyla başlatılan bir USB flash sürücüden bir anti-virüs yardımcı programı ile tedavi.

Virüsü bir antivirüs yardımcı programı ile kaldırmaya çalışıyoruz

Bu nedenle, virüsten kurtulmak için herhangi bir Live CD anti-virüs yardımcı programını bir USB flash sürücüye yazmanız gerekir. Dr. Web, Avast, Kaspersky - her neyse.

Virüslü dizüstü bilgisayar kilitli olduğundan, burada başka bir bilgisayara ihtiyacınız olacak. Bununla birlikte, bu yardımcı programı bulabilir ve bir USB flash sürücüye yazabilirsiniz. İyi ki bugün hemen hemen her evde 2-3 bilgisayar / dizüstü bilgisayar var 🙂

Flash sürücü önyüklenebilir olmalıdır. Onlar. ile yazılmalıdır özel program. Örneğin, yapabilirsiniz.

Her şeyi doğru yaparsanız, Windows yerine antivirüs yardımcı programı başlayacaktır. Ardından, bir virüs taraması yapmanız ve bitmesini beklemeniz yeterlidir.

Benim durumumda, kontrol bir saatten fazla sürdü. Yada daha fazla. Sonra beklemekten sıkıldım. Ve dizüstü bilgisayarı ve üzerindeki veriler için endişelenen bir kişinin üzgün bakışı, bir şeylerin değiştirilmesi gerektiğini düşündürdü. Sonunda bu talihsiz çeki iptal ettim ve başka bir yol aramaya karar verdim.

AntiSMS ile bir afişi kaldırma

Mükemmel bir AntiSMS yardımcı programı vardır. Benzer bir sorunla ilk kez karşılaşan deneyimsiz kullanıcılar için mükemmeldir.

Avantajı, tüm sistemi virüslere karşı kontrol etmemesi, ancak bu can sıkıcı afişi hemen kaldırmasıdır. Ondan manuel olarak kurtulabilirsiniz, ancak bunun için nasıl olduğunu bilmeniz gerekir. AntiSMS yardımcı programı, tüm bu eylemleri otomatik olarak gerçekleştirir. Sonuç olarak, fidye yazılımı başlığı sadece 10 dakikada kaldırılır.

Tekrar: yardımcı programı şuraya yazmanız gerekir: önyüklenebilir flash sürücü, BIOS üzerinden önyükleme yapın ve çalıştırın. Ardından, virüsün başarıyla kaldırıldığını belirten bir mesaj görene kadar birkaç dakika bekleyin. PC'nizi veya dizüstü bilgisayarınızı yeniden başlatın - açılmalı ve başlık artık orada olmayacak. Aslında benim durumumda sorun sadece AntiSMS yardımıyla çözüldü.

Yardımcı program ücretsizdir ve resmi web sitesinde bulunabilir. artı şimdi var yeni program aynı geliştiricilerden - SmartFix.

Bilgisayarı virüsten kurtarmak böyle ortaya çıktı. Bu arada, kullanıcıya göre, bu enfeksiyon büyük olasılıkla özetler sitesinde yakalandı. Reklam afişleri çıktı: onları kapatmaya çalıştığınızda sistem askıda kaldı, ardından yeniden başlatma izledi - ve işte, Windows'a girdiğinizde zaten bir şifre soruyor. Ve sonra, anlaşıldığı üzere, müthiş bir mesajı olan bir virüs, bir PC'nin kilidini açmak için para cezası ödememizi bekliyordu.

Tabii ki kimsenin ödeme yapmasına gerek yok - afiş bundan kaybolmayacak. Tek faydası saldırganın olacaktır: Bu "para kazanma" yönteminin işe yaradığını anlayacak ve virüslerini her türlü siteye yaymaya devam edecektir.

Eylül ayı başlarında, Doctor Web'in virüs laboratuvarı uzmanları, kötü niyetli bir programın dikkat çekici bir örneğine rastladılar. Trojan.Bioskit.1. Genel olarak bu, MBR'ye (disk önyükleme alanı) bulaşan ve ağdan bir şeyler indirmeye çalışan standart bir Truva Atı'dır. Doctor Web uzmanları tarafından yapılan araştırmalardan sonra, bilgisayar anakartının BIOS'una bulaşmaya izin veren mekanizmalar da içerdiği ortaya çıktı.

Araştırma sürecinde bu kötü amaçlı programın işleyişi hakkında daha fazla ayrıntı ortaya çıktıkça, bunun tam teşekküllü bir gelişmeden çok deneysel bir gelişme olduğuna ikna olduk. kötü amaçlı yazılım, - veya yazarın istediğinden daha erken "sızdı". Bu, özellikle aşağıdaki gerçeklerle kanıtlanabilir:

parametre kontrolünün varlığı Komut satırı(Trojan'ın bu örneğini anahtarla başlatmak -u sistemi iyileştirir)
üçüncü taraf yardımcı programların kullanımı;
50 gün sonra devre dışı bırakılan virüs devre dışı bırakma kodu;
ikisinin varlığı farklı seçenekler enfeksiyonlar sistem dosyaları(yalnızca biri kullanılmıştır);
kodda yazım hatası gibi görünen hatalar.

Ancak tüm bu koşullar, bu Truva Atı'nın potansiyel tehlikesini en ufak bir şekilde azaltmıyor. Hemen bir rezervasyon yapalım, sadece Award'ın BIOS'u ile donatılmış anakartlara virüs bulaşabilir.

enfeksiyon

Başlangıçta bir Trojan damlatıcısı Trojan.Bioskit.1 işletim sisteminde birkaç Çin antivirüsünün işlemlerinin çalışıp çalışmadığını kontrol eder: varsa, Truva atı, ana işlevinin çağrıldığı şeffaf bir iletişim kutusu oluşturur. Daha sonra Trojan.Bioskit.1 işletim sisteminin sürümünü belirler ve Windows 2000 veya üzeri ise (Windows Vista hariç) bulaşmaya devam eder. Trojan, farklı anahtarlarla başlatılabileceği komut satırının durumunu kontrol eder:

-D - verilen anahtarçalışmıyor (muhtemelen "sürüm oluşturmada" bu işlev kaldırılmıştır);
-w- sisteme bulaşmak (varsayılan olarak kullanılır);
-u- sistemi iyileştirin (dahil MBR Ve BIOS).

Damlalık kaynaklarında birkaç dosya paketlenmiştir:

cbrom.exe
kanca.rom
benim.sys
flash.dll
bios.sys

Damlalık, çalışması sırasında paketi açar ve sürücüyü sabit diske kaydeder %windir%\system32\drivers\bios.sys. Sistemde bir cihaz varsa \\.\Aygıtım Sürücüsü(incelenen damlalıkta böyle bir aygıtı uygulayan hiçbir sürücü yoktur), Truva Atı kitaplığı boşaltır %windir%\flash.dll ve büyük olasılıkla, sürekli olarak onu sistem süreçlerine dahil etmeye çalışır hizmetler.exe, svchost.exe Ve explorer.exe. Bu kitaplığın amacı sürücüyü başlatmaktır. bios.sys düzenli araçlar (servis kontrol yöneticisi) bir hizmet oluşturmak için bios. Kitaplık boşaltıldığında, bu hizmet kaldırılır. \\.\MyDeviceDriver aygıtı eksikse, beep.sys sistem sürücüsünün üzerine yazarak Trojan sisteme yüklenir. Başladıktan sonra, beep.sys önceden oluşturulmuş bir kopyadan geri yüklenir. Bu kuralın tek istisnası OS için yapılmıştır. Microsoft Windows 7: bu sistemde, damlalık kitaplığı diske bırakır %windir%\flash.dll ve onu indirir.

Damlalık daha sonra C sürücüsünün kök dizinine kaydeder: rootkit sürücüsü benim.sys. eğer sürücü bios.sys başlatılamadı veya BIOS bilgisayar farklıdır Ödül, Trojan bulaşmaya devam ediyor MBR. Dosya diske dökülüyor. %temp%\hook.rom tam bir genişletme modülü olan ( PCI Genişletme ROM'u). Ama üzerinde bu aşama yalnızca daha sonra diske yazmak için verilerin çıkarıldığı bir kap olarak kullanılır. Bundan sonra ilk 14 zor dahil olmak üzere disk MBR. orijinal MBR sekizinci sektörde saklanır.

my.sys sürücüsü

Bugünün standartlarına göre, bu oldukça ilkel bir sürücüdür: sistem sürücüsünden müdahale eder. disk.sys işleyiciler IRP_MJ_READ, IRP_MJ_WRITE Ve IRP_MJ_DEVICE_CONTROL, burada:

IRP_MJ_READ sabit sürücünün ilk 63 sektörü yerine sıfır verir;
IRP_MJ_WRITE ilk 63 sektöre yazmaya izin vermez. Aynı zamanda virüs, damlalığının MBR'nin ve diğer sektörlerin üzerine yazmasına izin vermeye çalışır, ancak koddaki bariz bir hata nedeniyle hile çalışmaz. Böylece, Truva atının yazarı üzerine yazmaya izin verir 0x14(20) sektör ve damlalık yalnızca yazar 0xE (14);
IRP_MJ_DEVICE_CONTROLİadeler STATUS_BAŞARISIZ isteklere yanıt olarak IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX Ve IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.

BIOS enfeksiyonu

Ama sürücü geldiğinde duruma geri dönelim. bios.sys tanımlamayı başarır Ödül BIOS'u. Bu kötü amaçlı programı, virüs bulaştıran benzer Truva atlarının geniş bir listesinden ayıran şeyin bu sürücünün varlığı olduğunu söylemeliyim. MBR.

Bahsedilen sürücü çok küçük ve korkutucu yıkıcı potansiyel. Üç yöntemi vardır:

tanımlamak Ödül BIOS'u(resminin boyutunu belirlemek için geçerken ve en önemlisi, G/Ç programlı olarak oluşturmaya zorlayabileceğiniz bağlantı noktası SMI (Sistem Yönetimi Yarıda kesmek) ve böylece kodu kipte yürütün SMM);
Resmi Kaydet BIOS diske dosyaya C:\bios.bin;
resim yaz BIOS bir dosyadan C:\bios.bin.

Erişim sağlayın ve ayrıca çipi yeniden yazın BIOSönemsiz olmayan bir görevdir. Bunu yapmak için, önce çipe erişim sağlamak için anakart yonga seti ile etkileşimi düzenlemeniz, ardından çipin kendisini tanımlamanız ve ona tanıdık veri silme/yazma protokolünü uygulamanız gerekir. Ancak bu kötü niyetli programın yazarı, tüm bu görevleri kendisine kaydırarak daha kolay bir yol izledi. BIOS. Takma adla bilinen Çinli bir araştırmacının çalışmasından yararlandı. buz lordu. Çalışma 2007'de yapıldı: o zaman, yardımcı programı analiz ederken Winflashİçin Ödül BIOS'u tarafından sağlanan bir hizmet aracılığıyla mikro devreyi yakmanın basit bir yolu keşfedildi. BIOS V SMM (Sistem Yönetimi Modu). Program kodu SMM V SMRAM işletim sistemi tarafından görülemez (eğer BIOS doğru yazılırsa, bu belleğe erişim onun tarafından engellenir) ve ondan bağımsız olarak yürütülür. Bu kodun amacı çok çeşitlidir: donanımda uygulanmayan anakart yeteneklerinin öykünmesi, donanım hatalarının işlenmesi, güç modlarının yönetimi, hizmet işlevleri vb.

Görüntünün kendisini değiştirmek için BIOS bu kötü amaçlı yazılım bir yardımcı program kullanıyor cbrom.exe(itibaren Phoenix Teknolojileri), diğer tüm dosyalar gibi kaynaklarını da taşır. Trojan, bu yardımcı programı kullanarak, hook.rom modülünü görüntüye şu şekilde enjekte eder: ISA BIOS ROM'u. Daha sonra Trojan.Bioskit.1 sürücüsüne yeniden flaş yapmasını söyler BIOS güncel dosyadan.

Başlatma işlemi sırasında bilgisayarınızı yeniden başlattığınızda BIOS müsait olan herkesi arayacak PCI Genişletme ROM'u, içermek kanca.rom. Bu modülden gelen kötü amaçlı kod, her seferinde bulaşma olup olmadığını kontrol eder MBR ve gerekirse yeniden enfekte edin. Sistemde varlığına dikkat edilmelidir. Ödül BIOS'u bu Trojan ile bulaşmayı garanti etmez. Yani, virüs laboratuvarında test edilen üç kişiden anakartlar yalnızca biri virüs bulaştırabildi, diğer ikisinde ise BIOS belleğinde yeni bir modül yazmak için yeterli alan yoktu.

MBR enfeksiyonu

Trojan, ana görevi dosyalara bulaşmak olan MBR'ye kod yerleştirir. winlogon.exe(V işletim sistemleri Windows 2000 ve Windows XP) veya wininit.exe(Windows 7). Bu problemi çözmek için Trojan.Bioskit.1 kendi ayrıştırıcısı var NTFS/FAT32. Trojan, günde bir kez güncellenen bir başlatma sayacı tutar. 50 gün sonra, virüslü modülün devre dışı bırakılması gerekiyor: virüs kodunun artık kontrolü ele geçiremeyeceği şekilde değiştirilecek. Ancak bu mekanizma Trojan'ın bu sürümünde devre dışı bırakılmıştır. Toplam Trojan.Bioskit.1 yalnızca biri etkin olan kabuk kodunun iki sürümünü içerir.

Çözüm

Bu tür tehditlerin tehlikesini hafife almak zordur, özellikle gelecekte bunun daha gelişmiş modifikasyonlarının olacağı gerçeği göz önüne alındığında. Truva veya benzer bir algoritmaya göre hareket eden virüsler. Şu anda MBR, sistem dosyaları ve dosya bileşenleri virüs. Bu tehdidin tespit edilmesi ve ortadan kaldırılmasından sonra sistem yeniden virüs bulaşırsa Trojan.Bioskit.1, enfeksiyon kaynağı büyük ihtimalle enfekte bir Bilgisayar BIOS'u. Doctor Web uzmanları sorun üzerinde çalışmaya devam ediyor.