不久前，广州网友李先生向360安全中心求助，反映他的电脑系统自动创建名为aaaabbbb的陌生账号，杀毒软件反复报毒，即使重装系统仍然无法清除病毒。

经过360工程师远程协助的初步判断，李先生电脑主板BIOS很可能感染了恶意代码。为此，我们请李先生把主板邮寄到360公司北京总部进行分析，发现这是一种前所未见的新型BIOS BOOTKIT。由于它会在系统中设置间谍账号进行远程控制，我们将其命名为谍影木马。

与以往的BIOS恶意代码相比，谍影木马具有更强的兼容性和更高的技术水平：

一、全球首例感染UEFI主板的真实攻击。谍影木马支持的BIOS版本非常多，是目前已知的唯一能够感染UEFI主板的木马。谍影木马会感染UEFI兼容模式的BIOS引导模块，UEFI+GPT模式不受影响。在此前2011年出现的BMW BIOS木马（国外厂商命名为Mebromi），则仅支持感染特定的Award BIOS；

二、系统兼容性强，支持所有主流的32位和64位Windows平台，包括最新的64位Win10。

图：64位Win10感染谍影木马触发微软PATCH GUARD 导致反复蓝屏

据了解，李先生是由网店购买的此二手主板。根据网络搜索谍影木马的中招现象，李先生的遭遇也并非个例。从现有样本推测，恶意代码可能是由编程器刷入主板BIOS，通过电商渠道贩卖流通。

鉴于主板结构的复杂性和特殊性，现阶段只有重刷BIOS才能够彻底清除谍影木马。以下是对谍影木马技术原理的详细分析。

0x01 BIOS与UEFI

BIOS是英文"Basic Input Output System"的缩略词，直译过来后中文名称就是"基本输入输出系统"。其实，它是一组固化到计算机内主板上一个ROM芯片上的程序，它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。优先于操作系统执行，负责加载执行MBR代码，其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。

UEFI（Unified Extensible Firmware Interface）全称“统一的可扩展固件接口”，是一种新的主板引导项，正被看成是有近20多年历史的BIOS 的继任者，自Win8以来得到了微软的力推。UEFI号称通过保护预启动或预引导进程，可以抵御Bootkit攻击，相比BIOS具有更高的安全性。

0x02技术分析

2.1 CSM模块分析

木马位于BIOS文件中



，主板为ASUS 华硕的B85M-G-ASUS-0904。和正常的BIOS不同之处，在于木马主板的CSMCORE模块比正常的要大。应该只能在LEGACY MODE下有效，而通过UEFI启动的应该无效。（CSM（Compatibility support Module）表示兼容模块，该选项专为兼容只能在legacy模式下工作的设备以及不支持或不能完全支持UEFI的操作系统而设置。）

木马在该BIOS模块中，加入了自己的功能，挂钩系统了正常函数来执行。

正常的函数如下：

木马挂钩了该函数改为：

将原有函数的第一条指令改为CALL，从而获得执行机会：

之后其会判断R9寄存器所指内容是否为3，可能是BIOS初始化成功的一个标志，然后搜索BIOS内部特征码CD 19 B8 00 80 CB 00

应该是 BIOS内部初始化后，调用中断INT19H 实现加载硬盘第一个扇区MBR执行的代码。然后修改0X413处的数据，预留40KB空间，用来存放木马代码，并将BIOS内的代码拷贝到该预留空间。并将前面找到的BIOS内部初始化后，调用中断INT19H 实现加载硬盘第一个扇区MBR执行的代码，改为调用木马自身的代码。

2.2 INT15挂钩分析