Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

BIOS を狙う脅威の再来

Created: 10 Sep 2011 06:56:00 GMT • Translations available: English
Livian Ge's picture
0 0 Votes
Login to vote

MBR(マスターブートレコード)に感染することが確認されているウイルスは、増加の一途をたどっています。シマンテックセキュリティレスポンスでも、この傾向について指摘するブログ記事を先月公開したところです。一方、BIOS に感染するウイルスが出現した例はあまりありません。そのひとつが、1999 年に出現した有名な CIH で、これはコンピュータの BIOS に感染し、当時膨大な数のコンピュータに被害をもたらしました。最近シマンテックは Trojan.Mebromi という脅威を検出しましたが、これは Award BIOS に悪質なコンポーネントを侵入させ、MBR より前にシステム制御を乗っ取る機能を持っています。

Trojan.Mebromi は %system%\drivers\bios.sys にドライバを投下し、ビープサービスを停止したうえ、投下したドライバで %system%\beep.sys を置き換えます。その後、ビープサービスを再開して、投下したドライバをロードします。

bios.sys は、BIOS 情報の取得、BIOS のフラッシュやバックアップなど、BIOS を操作するために使われています。

bios.sys を利用して Trojan.Mebromi は、感染したコンピュータで Award BIOS が使われているかどうかを調べます。使われている場合には、既存の BIOS を c:\bios.bin に保存し、すでに感染しているかどうかを調べます。

ファイル c:\bios.bin に「hook.rom」という文字列が存在すれば、BIOS はすでに感染していることになります。まだ感染していない場合には、cbrom.exe というツールと、hook.com という名前の悪質な ISA コンポーネントを投下し、以下のコマンドで感染を試みます。

cbrom bios.bin /isa hook.com

 

 

こうすると、bios.bin に ISA モジュールとして hook.com が追加され、bios.bin が BIOS にフラッシュされます。

 

感染した BIOS は、コンピュータの電源を入れたとき自動的にモジュール hook.rom を呼び出します。hook.rom は MBR が感染しているかどうかを調べ、必要があれば感染させます(ここで感染した MBR をシマンテックは「Boot.Mebromi」として検出しています)。

その後、hook.com は悪質なコンポーネントを MBR に近いセクタに書き込み、元の MBR をセクタ 8 に保存します。このコンポーネントは、感染した MBR によってロードされて winlogon.exe または winnt.exe に感染します。

BIOS が Award BIOS でない場合、Trojan.Mebromi は BIOS 情報を取得できず、MBR に感染するだけです。

winlogon.exe または winnt.exe が起動時に予定どおり感染した場合は、「Find it OK!(正常です!)」という文字列が出力されます。

感染した winlogon.exe(Windows XP/2003 の場合)または winnt.exe(Windows 2000 の場合)は、hxxp://dh.3515.info:806/test/91/calc.exe から c:\calc.exe にファイルをダウンロードして実行します(シマンテックがサンプルを入手した時点で、このリンクは無効になっていました)。感染したファイルは、この脅威によって投下された c:\my.sys もロードし、感染した MBR が変更されないようにします。my.sys は、disk.sys をフックするため、感染した MBR をセキュリティソフトウェアによって復元できなくなるのです。

以下にフローチャートを示します。

シマンテックはすでに、Trojan.Mebromi と Boot.Mebromi に対する定義ファイルを公開しています。お客様は、できるだけ速やかにセキュリティソフトウェアを更新し、コンピュータを保護するようにしてください。

脅威を解析してくれた Li Yi 氏と Yuan Liang 氏に感謝します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Blog Entry Filed Under: