Вредонос Rakshasa практически невозможно выявить и уничтожить

Вредоносное ПО, как и другие виды приложений, становится все более совершенным. Оно научилось разрушать физические инфраструктуры, устанавливаться на ПК во время обновлений Microsoft, использовать особенности человеческого поведения. Известный эксперт в области безопасности Джонатан Броссар (Jonathan Brossard) предложил уникальный метод деформации кода вредоноса — такую программу практически невозможно уничтожить. Результаты работы опубликованы на ресурсе Toucan System и будут представлены на проходящей в Лас Вегасе (США) конференции Black Hat.

Вредоносная программа Rakshasa создает в ПК постоянный бэкдор, который очень сложно обнаружить и еще сложнее удалить. Как и другие подобные программы, Rakshasa инфицирует BIOS и использует потенциально уязвимые особенности традиционной архитектуры ПК, в том числе может инфицировать периферийные устройства и восстанавливать свою структуру, используя хранящиеся на них части кода.

Таким образом, чтобы очистить ПК от вируса, придется одновременно вычищать все устройства, подключаемые к ПК, что сделать очень непросто. Стоимость восстановления может превысить цену нового ноутбука, во многих случаях оказывается проще заменить компьютер.

Rakshasa построен с использованием open source компонентов, приложений для изменения BIOS (как Core Boot, Sea BIOS, пр.). По словам Джонатана Броссара, вредонос совместим с широким спектром оборудования, и многие антивирусы просто не смогут его детектировать. После загрузки ПУ Rakshasa загружает весь машинный код в виде поддельного PDF файла по SSL-защищенному Wifi соединению, и хранит код в памяти, а не на жестком диске.

Новый вирус получил имя этого индийского демона