Теперь вирусы проникают в BIOS и DSL-модемы

Коляс

Модератор:Software,Hardware
#1
Теперь вирусы проникают в BIOS и DSL-модемы

Конец марта в этом году ознаменовался двумя важными новостями – во-первых, найден способ помещения вредоносного кода в память BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов червем под названием «psyb0t», который превращает роутер в компонент ботнет-сети.



Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста, Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы для удаленного управления, или руткита (rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.

Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена. Подробнее об атаке на BIOS можно прочитать в блоге ThreatPost.

Еще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимается мониторингом IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена DDoS-атака (Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».

Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.

После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.

Подробное описание ботнета и червя «psyb0t» можно найти в блоге DroneBL.


чегго же нам ждать дальше?? заражение мышек)
 

Mauglee

Житель центра города
#4
честно, с трудом верится про биос что-то
Вот также не верили, про вирусы, которые монитор прожигают и электронами прямо в мозг человека убивают.

А они есть! Я в телевизоре видел!!!
60
 

Aliens

Меня знают многие ;-)
#5
Еще в 1995 г. в ЦРУ существовал отдел по разработке информационного оружия. В частности, они планировали написать вирус сохраняющийся в БИОС условное название проекта "КИТ" (рыба).

Само собой разумеется, что разработки всей новой техники американскими компаниями велись с учетом пожеланий ЦРУ.
Так что все нормально.
Так и должно быть... :)


К слову сказать, ВИОСы сейчас имеют достаточный объем. На новых моделях от 256кбит и до 1 мбит, так что там много чего можно записать.

В студенческие годы на Ямахах был вирус размером 146 байт, копировался при просмотре файлов :)
 

x-coder

Гость города
#6
Достаточно изменить стандартный пароль на более сложный и dsl модему ничего не грозит. Чтобы модифицировать биос все-таки нужны определенные действия пользователя, да и насколько стабильно будет работать материнская плата после этого тоже под вопросом. Вобщем умеющим думать людям и знающим, что они запускают бояться особо нечего, если только они не параноики.

Про ЦРУ улыбнуло, видимо обычные люди об их деятельности знают больше, чем они сами
 

Aliens

Меня знают многие ;-)
#7
Достаточно изменить стандартный пароль на более сложный и dsl модему ничего не грозит. Чтобы модифицировать биос все-таки нужны определенные действия пользователя, да и насколько стабильно будет работать материнская плата после этого тоже под вопросом. Вобщем умеющим думать людям и знающим, что они запускают бояться особо нечего, если только они не параноики.

Про ЦРУ улыбнуло, видимо обычные люди об их деятельности знают больше, чем они сами
Наивный мальчик!
Ты думаешь нужно что-то кроме IP протокола, чтобы взломать твою машину?
Про ЦРУ информация достоверная.
 

Aliens

Меня знают многие ;-)
#8
К слову, IP протокол не считается провайдерами, так что, если кто-то за тобой следит, то это в твоем счЁте не отразиться, и даже в цифру не войдет...хоть он всё с твоего компа скачает - пофиг...
 

x-coder

Гость города
#9
Наивный мальчик!Ты думаешь нужно что-то кроме IP протокола, чтобы взломать твою машину?
179.29.225.148, взломай пожалуйста, много интересного лежит здесь D:\Foto\Katya_BirthDay))

К слову, IP протокол не считается провайдерами, так что, если кто-то за тобой следит, то это в твоем счЁте не отразиться, и даже в цифру не войдет...хоть он всё с твоего компа скачает - пофиг.
К слову, 3,14здеть не сложно (это про ваше знание сетевых протоколов и про ЦРУ тоже)
 

Aliens

Меня знают многие ;-)
#10
ХА! Я знаю парочку товарищей, им вирусы в мозг проникли!
x-coder, вы отчаянный друг (если это ваш ай-пи)! От ЮТК подключены? Анлим, нет? Нальют вам 3 гига овна и заплатите по 1.5 р.
 

Aliens

Меня знают многие ;-)
#11
x-coder, не то чтобы любой человек такое умел...
но если вы
1. любой человек,
2. службист
3. придурок
то в любом случае, считаю, нецелесообразным меряться силами в этой теме.
 
S

sleepwalker

Guest
#12
Наивный мальчик!
Ты думаешь нужно что-то кроме IP протокола, чтобы взломать твою машину?
Про ЦРУ информация достоверная.
Ты не в теме, отдыхай.

Пароли нормальные ставьте, telnet и ssh отключайте и не будет ваша точка доступа или роутер или тупо модем. частью ботнета.
Про материнки - бред.

Как это делается? Элементарно Ватсон!
1) Имеем пароль admin:admin
2) Имеем возможность шить точку доступа например.
3) ssh либо telnet с теми же пассами.

Факт: в точке залит любимый всеми линукс - тукс.
Факт2: руками ботнет собирать долго - делаем сканер на наличие 80 порта в известных диапазонах прова. Автоматизирум брутфорс паролей. Автоматизируем залив прошивки.

Нахера козе баян собсна? А вы задумывались на каком вы канале сидите? А теперь 1000 таких как вы. А 10 тыс? А теперь все разом просим пентагон показать нам главную страничку =)



З.Ы. Екто найдет в IP протокое "ДЫРКУ", дам пряник ))))