Руткиты могут скрываться в BIOS материнских плат

30/01/2006 17:23

Джон Хесман, сотрудник британской Next-Generation Security Software, утверждает, что набор функций для управления питанием, известный как Advanced Configuration and Power Interface (ACPI), содержит собственный интерпретируемый язык высокого уровня, который может использоваться для написания rootkit и хранения ключевых функций нападений в флеш памяти BIOS (Basic Input/Output System). Джон проверил возможность поднятия привилегия и чтения данных физической памяти, используя специально написанные процедуры, которые заменяли легитимные фунции, хранящиеся во флеш памяти BIOS. Ранее уже появлялись вирусы, способные изменять флеш память компьютера (например, CIH, он же Чернобыль в 1998 г.), однако способность использовать язык программирования высокого уровня, доступный для создания ACPI функций, позволяет значительно упростить написание злонамеренного кода. Прошивки (firmware) cовременных БИОС имеют таблицы соответствия команд ACPI Machine Language (AML) "железным". При добавлении новых функций для взаимодействия с БИОС используется высокоуровневый язык под названием ACPI Source Language (ASL), код на котором компилируется и затем записывается в соответствующие таблицы. Несмотря на потенциальную возможность появления подобных руткитов, в качестве защиты от поражения BIOS системы рекомендуется использовать джамперы, которые предотвращают запись данных во флеш-память.
Более подробно