Программисты «Доктор Веб», компании, которая занимается антивирусными программами, обнаружили новый вирус, который перепрошивает BIOS и поддерживает в зараженном состоянии загрузочный сектор жесткого диска. Эксперты предполагают, что версия является тестовой либо попала в Интернет случайно, без желания автора вируса. О том, что обнаружен вирус, позволяющий заразить BIOS компьютера, сообщила вирусная лаборатория «Доктор Веб». Вредоносная программа вооружена механизмом заражения, способным оставлять свои отпечатки на материнской плате. Вначале установщик троянца Trojan.Bioskit.1 ведет проверку на наличие запущенных операционной системой процессов некоторых китайских антивирусов. При их обнаружении, вирус создает некое прозрачное окно, через которое осуществляет вызов своей главной функции. Затем троянцем определяется версия ОС. Заражение продолжается, если операционная система Windows2000 и выше.

При установленной ОС Vista троянец не работает.

Установщиком распаковывается и сохраняется на жестком диске компьютера драйвер bios.sys. Троянец устанавливается в систему, перезаписывая системный драйвер, или помещает на диск библиотеку, которую внедряет в системные процессы. Библиотека предназначена для запуска штатными средствами драйвера bios.sys. При неудачной попытке запустить bios.sys, троянец заражает MBR — загрузочный сектор жесткого диска, путем перезаписи первых четырнадцати секторов. В «Доктор Веб» говорят, что это нетривиальная задача. Для ее выполнения должно быть организовано взаимодействие с чипсетом, чтобы получить доступ к чипу, далее, чип нужно опознать, а потом приметить протокол стирания и записи, который ему известен. Trojan.Bioskit.1 поражает BIOS производства Award. Автор Trojan.Bioskit.1 переложил все эти задачи на сам BIOS. Еще в 2007 году китайский исследователь, анализируя утилиту Winflash для BIOS Award, обнаружил метод перепрошивки микросхемы, используя сервис, который предоставляет сам BIOS. Установочный пакет содержит утилиту Сbrom.exe, которую использует вредоносная программа для перепрошивки BIOS. Модифицированный BIOS при каждой перезагрузке компьютера будет проверять, заражен ли MBR, и в случае необходимости, перезаражать его. Вирус Trojan.Bioskit.1 может заразить материнские платы только с BIOS компании Award, и то необязательно. Из трех плат, которые тестировались, вредоносная программа заразила только одну, а у других для перепрошивки в памяти BIOS не хватило места. Интересно, что в конце 2010 года компания Kraftway начала выпуск материнских плат, которые используют освобожденный от уязвимости Phoenix AwardBIOS.