32 220 35 21
biuro@omegasoft.pl
Wirusy BIOS-owe to wyjątkowo trudne do pozbycia się szkodniki. Niepokoi zwłaszcza to, że niektóre wirusy atakujące BIOS są w stanie przetrwać formatowanie i ponownie zainfekować czysty dysk. Dobra wiadomość jest taka, że wirusy BIOS-owe są bardzo rzadkie. Mimo to warto mieć świadomość ich istnienia i dowiedzieć się, jak działają.
Jak działają wirusy BIOS-owe?
Jednym ze sposobów kategoryzacji wirusów komputerowych jest ich lokalizacja. Większość konwencjonalnych wirusów znajduje się w plikach dostępnych dla systemu operacyjnego. Niektóre wirusy rezydują w głównym sektorze rozruchowym dysku twardego i ładują się jednocześnie z systemem operacyjnym. Wśród wirusów najtrudniejszych do usunięcia są wirusy BIOS-owe, które znajdują się w oprogramowaniu układowym płyty głównej.
Sformułowanie BIOS to skrót od angielskiego: Basic Input/Output System, co tłumaczy się jako podstawowy system wejścia-wyjścia. Zadaniem BIOS-u jest wykonanie serii testów podzespołów komputera tuż po jego uruchomieniu. BIOS zawiera instrukcje dotyczące ładowania podstawowego sprzętu komputerowego i jest zapisany w pamięci płyty głównej oraz innych kart rozszerzeń takich, jak np. karta graficzna.
Uszkodzony BIOS może powodować szereg problemów z działaniem komputera – od drobnych, takich jak niedziałanie niektórych stron internetowych w wyniku błędnie ustawionej daty i godziny, aż po poważne, np. nieuruchamianie się systemu. Przyczyną nieprawidłowego działania BIOS-u może być m.in. obecność wirusa BIOS-owego.
Jednym z najbardziej znanych wirusów atakujących BIOS jest CIH, znany również jako „Czarnobyl” lub „Spacefiller”. Zaczął on atakować komputery pod koniec lat 90. XX w. Jego ładunek, po uruchomieniu, nadpisywał informacje systemowe i niszczył BIOS komputera, zasadniczo blokując zainfekowany komputer.
Wirusy BIOS-owe działają w różny sposób. Mogą np. modyfikować flash BIOS lub instalować rootkit w BIOS-ie niektórych systemów. Wiele wirusów BIOS to oprogramowanie ransomware, które twierdzi, że Twój system jest zainfekowany i przekierowuje Cię na fałszywą witrynę do usuwania wirusów lub grozi zaszyfrowaniem Twojego dysku twardego, jeśli nie przekażesz jakiejś informacji lub nie zapłacisz okupu.
Dlaczego hakerzy posługują się wirusami BIOS-owymi? Bezpośrednie zainfekowanie kodu BIOS ma na celu bardziej rozbudowany, wydajniejszy i trwalszy atak. Wynika to z faktu, że wirus BIOS-owy jest w stanie ponownie infekować dysk za każdym razem, gdy włączysz komputer. Oznacza to, że wirusy BIOS-owe są w stanie przetrwać formatowanie i ponownie zainfekować czysty dysk. Z tego względu bardzo trudno jest je usunąć. Sytuację komplikuje fakt, że BIOS jest całkowicie oddzielony od dysków twardych komputera, dlatego oprogramowanie antywirusowe zwykle nie jest w stanie wykryć rezydujących w nim wirusów.
W lutym 2015 r. firma Kaspersky Lab poinformowała o „uporczywym, niewidocznym złośliwym oprogramowaniu szpiegowskim wewnątrz oprogramowania sprzętowego dysków twardych, kompatybilnym z prawie wszystkimi głównymi markami dysków twardych: Seagate, Western Digital, Samsung”. To szczególne zagrożenie dotyczyło instytucji rządowych i wojskowych, firm telekomunikacyjnych i energetycznych, obiektów badań jądrowych, firm naftowych, twórców oprogramowania szyfrującego i mediów. Ten rodzaj złośliwego oprogramowania na BIOS jest specyficzny dla dostawcy i nie może modyfikować wszystkich typów BIOS-u.
Na szczęście jest bardzo mało prawdopodobne, że napotkasz wirusa działającego na poziomie BIOS-u. Wynika to z faktu, że wykorzystanie takiego szkodnika na większą skalę jest dla cyberprzestępców niepraktyczne. Twórcy szkodliwego oprogramowania wolą zwykle docierać do dużej liczby odbiorców za pomocą socjotechnik, gdzie mogą używać mniej wyrafinowanych technicznie środków, niż wirusy BIOS-owe.
Czy wirusy mogą zniszczyć BIOS współczesnego komputera?
Większość znanych wirusów BIOS-owych została znaleziona głównie w starszych wersjach systemu operacyjnego Windows, takich jak Windows 9x/NT. Powodowały one, że komputer nie uruchamiał się poprawnie. Pojawia się jednak pytanie, czy istnieją wirusy, które mogą uzyskać dostępu do BIOS-u współczesnego komputera i go zniszczyć?
Aby odpowiedzieć na to pytanie, należy najpierw zaznaczyć, że nowoczesne komputery nie mają BIOS-u – mają UEFI. UEFI to interfejs pomiędzy systemem operacyjnym a firmware, opracowywany jako następca BIOS-u w komputerach osobistych.
UEFI ma znacznie większą powierzchnię ataku niż tradycyjny BIOS, a potencjalna luka w UEFI może być wykorzystana do uzyskania dostępu do komputera bez jakiegokolwiek fizycznego dostępu. Niestety, w UEFI brakuje też większości funkcji bezpieczeństwa wewnętrznego, które masz po uruchomieniu „prawdziwego” systemu operacyjnego.
Badacze stwierdzili, że zdalne ataki na oprogramowanie układowe UEFI są możliwe do przeprowadzenia za pośrednictwem mechanizmów aktualizacji. Aktualizacja oprogramowania układowego UEFI z działającego systemu operacyjnego jest standardową procedurą, więc każde złośliwe oprogramowanie, które zdoła uruchomić się w systemie operacyjnym z wystarczającymi uprawnieniami, może spróbować zrobić to samo.
Jeśli atakujący uzyska wystarczające uprawnienia do zainstalowania swojego programu na UEFI, może potencjalnie pozostawić komputer w stanie, w którym nie będzie można go uruchomić, poprzez wymuszenie wyłączenia komputera w dogodnym momencie procesu.
Czy program antywirusowy wykrywa wirusy BIOS-owe?
Większość programów antywirusowych nie wykrywa wirusów BIOS-owych. Oprogramowanie do skanowania wirusów sprawdza tylko obszary dysku twardego dostępne dla systemu operacyjnego. Wiele z nich może skanować sektory głównego rekordu rozruchowego dysku twardego, jednak nie skanują systemu BIOS.
Jedynym sposobem wykrycia wirusa BIOS-owego jest metoda prób i błędów oraz dedukcja. Jeśli komputer zachowuje się tak, jakby był obecny wirus, ale nie możesz go wykryć na dysku za pomocą aktualnego oprogramowania antywirusowego, być może to wynik działania wirusa BIOS-owego.
@OmegaSoft