Вот интересная статейка про вирусы. Написано правда журналистом.
http://www.3dnews.ru/offsyanka/777783
Еще одна статья.
http://arstechnica.com/security/2013/10/meet-badbios-the-mysterious-mac-and-pc-malware-that-jumps-airgaps/
Вот к ней еще один пример.
http://www.xakep.ru/post/58104/
Однако все плохо.

Для более ясного понимания относительно того, что представляет собой семейство вредоносов BadBIOS по наблюдениям Драгоша Руйу, вот как выглядит краткий перечень его особенностей.
Данное вредоносное ПО заражает аппаратное обеспечение компьютеров на уровне флеш-прошивок. Вредонос умеет перепрошивать системный BIOS и очень гибко сопротивляется уничтожению, размещая свои фрагменты не только в микрокодах прошивок, но и в служебных разделах жесткого диска. Даже после заливания в память BIOS законной прошивки вместе с полной зачисткой диска, BadBIOS все равно вновь обнаруживается в системе.
Вредонос BadBIOS имеет свой собственный гипервизор или «монитор виртуальных машин». То есть программу, которая позволяет запустить одновременно несколько операционных систем на одном и том же компьютере. Гипервизор обеспечивает изоляцию ОС друг от друга и разделение ресурсов машины между различными запущенными ОС. Фактически гипервизор сам по себе является минимальной операционной системой.

МЫ ВСЕ УМРЁМ!!!

(1) Под линукс есть сборка? Куда слать багрепорты?

(0)  Беги оттуда.

(2) В этом как раз таки сомнений нет.)))
от сюда. http://www.xakep.ru/post/58104/

Теперь Intel внедрила эти компоненты в южный мост, более того, подключила этот блок к системной шине и не стала использовать выделенный сетевой канал (как предусмотрено стандартом IPMI, описывающим функции блока ВМС) для работы сервисной сети, а туннелировала весь сервисный сетевой трафик в основные сетевые адаптеры. Далее я узнал из документации, что программы на флеш-микросхеме блока ВМС зашифрованы, а для их распаковки используется специальный аппаратный криптографический модуль, также интегрированный в южный мост. Такие блоки ВМС мне раньше не попадались.

Чтобы не быть голословным, привожу выдержку из документации на этот южный мост:

ARC4 processor working at 62.5 MHz speed.
Interface to both LAN ports of Intel® 631xESB/632xESB I/O Controller Hub allowing direct connection to the net and access to all LAN registers.
Cryptographic module, supporting AES and RC4 encryption algorithms and SHA1 and MD5 authentication algorithms.
Secured mechanism for loadable Regulated FW.
Применение иностранных криптографических средств с длиной ключа более 40 бит запрещено на территории России законодательно, а тут — пожалуйста! — в каждом сервере Intel криптомодуль с неизвестными ключами длиной 256 бит. Более того, эти ключи использовались для шифрования программ, зашитых в микросхемы материнской платы на этапе производства.

(5) Я на АМД. Я спасен?

(6) Фиг его знает.
Расскажу немного о различиях между архитектурами виртуализации. Системы аппаратной виртуализации от Intel и AMD совершенно не похожи друг на друга. Главное архитектурное отличие этих систем состоит в режиме работы хоста. В системе AMD хост работает с отключенной аппаратурой виртуализации, то есть его программы выполняются на реальном процессоре. Виртуализация вторичного хоста в системах от AMD требует виртуализации только команды VMRUN (можно считать, что других команд нет). Работа с управляющим VMCB-блоком в архитектуре AMD происходит через обычные команды обращения к оперативной памяти, что позволяет контролировать с помощью вторичного хоста только выполнение команд VMRUN и подправлять при необходимости VMCB-блок перед реальным входом в режим задачи. Удлинить цикл обработки события в два раза еще можно, и на платформе AMD такая эмуляция жизнеспособна. В системе виртуализации Intel все гораздо сложнее. Для доступа к VMCB-блоку используются специальные команды VMREAD и VMLOAD, которые нужно обязательно виртуализировать. Обычно обработчики хоста десятки, если не сотни раз обращаются к полям VMCB-блока, и каждую такую операцию нужно эмулировать. При этом заметно, что скорость падает на порядок, это очень неэффективно.

Когда все было готово, руководство фирмы опять вышло на ФСБ с предложением посмотреть работу нашей собственной закладки и убедиться в том, что технологии виртуализации представляют реальную угрозу. Но посмотреть на нашу закладку в деле никто не захотел, с самого верха поступила команда (я так и не узнал, чье именно это было распоряжение) с нами больше не общаться. Главные борцы за информационную безопасность не захотели нас слушать. Тогда, уже практически ни на что не надеясь, фактически для очистки совести, мы попытались донести информацию о проблеме до пользователей систем информационной безопасности. Мы связались с "Газпромом", чтобы проинформировать специалистов компании о современных угрозах для распределенных систем управления технологическими процессами. Удалось организовать встречу с руководством службы корпоративной защиты и управления комплексными системами безопасности этой корпорации. Специально для них была подготовлена более наглядная версия закладки с упрощенным командным интерфейсом. Закладка активировалась после загрузки на компьютер текстового файла, содержимое которого включало два слова — "Газпром" и "стоп", — расположенных в произвольном порядке. После этого компьютер умирал, но не сразу, а с задержкой в пять минут. Естественно, можно было сделать задержку и на сутки, но тогда мы бы не уложились во время, отведенное для демонстрации. Сотрудники "Газпрома" посетовали на низкий уровень информационной безопасности и заявили, что это не их дело, поскольку они руководствуются требованиями и правилами, которые устанавливает ФСБ. Круг замкнулся, стало понятно, что эту монолитную систему "информационной безответственности" не пробить.

(8) Ну все я напуган и готов покупать русские процы с православными закладками!
Shut up and take my money!

(0)Что конкретно ты предлагаешь?

(10) Ну видимо отключать динамики и микрофоны.
Руйу однажды обнаружил, что обмен зашифрованными пакетами между двумя его машинами неслышно для человека происходит в ультразвуковом диапазоне — через динамики и микрофоны ноутбуков.
"Really, everything Dragos reports is something that's easily within the capabilities of a lot of people," said Graham, who is CEO of penetration testing firm Errata Security. "I could, if I spent a year, write a BIOS that does everything Dragos said badBIOS is doing. To communicate over ultrahigh frequency sound waves between computers is really, really easy."

(10) Очевидно не использовать слова "Газпром" и "Стоп".
Интересно, а закладка все кодировки понимает?

(11) Что там ребята курят такое...
Шапочки из фольги одели?

+(11) Хотя насчет ультразвука это кто то спи*дел. Но возможности обмениваться информацией через аудиотракт я думаю можно.

(14) Что тут думать. Факсы до сих пор этим занимаются.

(15) Факсы слышно. Нужно сделать так чтобы не слышно было.

(12)Конечно все, для нее это семечки.
Более того в этот самый момент закладка включила видеокамеру на твоем ноуте и читает твои мысли по мимике и движению глаз.

И это, в окно выгляни, видишь темную иномарку? Думаешь просто так она весь день у твоего дома стоит?

(16)В чем проблема? Или ты физику в школе не учил?

(16) Ну тогда слушай как ДСЛ-модем работает.

(12) "Очевидно не использовать слова "Газпром" и "Стоп".
Интересно, а закладка все кодировки понимает?"
все, но они должны быть написаны в украинской раскладке Краковяк.

(18) Да я и не сомневаюсь что не проблема. Все упирается в параметры микрофона. Все как бы из описанного возможно. Но мне понравилась идея управления компом через аудиотракт.

В завершение этой грустной хронологии осталось упомянуть лишь очень показательную историю о тотальном хакинге осенью 2012-го компьютерной сети, обеспечивающей работу The New York Times (NYT) — самой известной и самой крупной, наверное, газеты США.
Во-первых, хотя в NYT заранее знали о неприятностях, грозящих их сети, и даже специально предупредили специалистов по защите, дабы те повысили бдительность, когда атаки реально пошли, то противопоставить им оказалось, в общем-то, нечего. Во-вторых, штатные антивирусные средства смогли выявить и изолировать лишь одного из 45 отмеченных вредоносов. Иначе говоря, по меньшей мере 98% атак прошли в систему таким образом, словно никакой антивирус-защиты здесь не было вообще. В-третьих, наконец, когда после 4 месяцев атак было решено зачистить систему от вторжения неприятеля, то единственно эффективным средством была сочтена полная замена всех скомпрометированных машин на новые. Потому что — по признанию опытной фирмы Mandiant, специализирующейся на такого рода проблемах, — иного средства для удаления подобных вредоносов специалистам неизвестно: остается только сменить компьютеры и уповать, что других зараженных машин в системе больше нет...

А я тогда думал что они просто лохи.

Фигня все это...
Чтоб от такого вылечится, нужно свои комплектующие выпускать.
А мы не могем. :(
Даже если запустим производство комплектующих, к ним нужно ПО системное и ОС.
Так что можно забыть про все.
Главное что б силовиков снабжали уникальным оборудование. Иначе - попа. :(

(23)
В связи с этим было решено выйти на руководство Центра защиты информации и спецсвязи ФСБ. В заключение мы совершенно неожиданно услышали, что эта модель угроз уже исследована, в их отношении применяется комплекс мер противодействия, и вообще, нам закладки не страшны, поскольку наши системы не имеют выхода в интернет. Технические специалисты этой фирмы, проводящие исследования биоса, рассказали, что его программные модули, использующие аппаратуру виртуализации, надо искать по сигнатурам команд виртуализации. Действительно, команды процессора для аппаратуры виртуализации содержат три-четыре байта и в программном коде, но кто сказал, что этот программный код они обнаружат в незашифрованном виде на флеш-микросхеме? Как они отсканируют этот код в оперативной памяти, если эти области памяти защищены аппаратно от просмотра?
Когда все было готово, руководство фирмы опять вышло на ФСБ с предложением посмотреть работу нашей собственной закладки и убедиться в том, что технологии виртуализации представляют реальную угрозу. Но посмотреть на нашу закладку в деле никто не захотел, с самого верха поступила команда (я так и не узнал, чье именно это было распоряжение) с нами больше не общаться.

(21)Не бывает таких микрофонов и динамиков которые по своему рабочему диапазону идеально совпадают с диапазоном восприятия человека.
Поэтому зачастую сгенерировать/принять звуковой сигнал неслышный человеку можно с помощью штатных девайсов встроенных в компютер.
Ну а ежели есть подлюченная акустика, так вообще не вопрос.

Если все так и есть, то просто нужно работать понимая что ты работаешь в доступной другим среде.

(24)Правильно.
Зачем хитрозадые эфесбешники будут признаваться первому встречному, что все знают?
Им проще дурачком прикинуться, а этого умника на заметку взять.

Мало знать секреты врага, надо еще чтобы враг не знал, что ты знаешь!

(27) Точно там второй комментрий:
"Как можно связаться с автором статьи ?"

(24) повторяешься... или копипастишь...

Мопед староват. И это давно не секрет а вполне разумное решение - парой команд вернуть страну к логарифмической линейке и калькуляторам. Закладки в процах и биосе были есть и будут, они даже иногда всплывают в открытую ;) ввиде новых фитч от производителей "заблокировать украденный компьютер по телефону, удалить с него инфо итд." Так-же есть и системные - если кто помнит то украденный бета билд висты при неправильной активации выжегал биос на материнке. Так что граждане удивляться здесь особо нечему ;)))

Касательно закладки-
Ну допустим она существует. Почему бы нет? Вполне реально.

Тут возникает вопрос - кто ее поставил?
Поставить ее мог c равной вероятностью, как мистер Смит, делец из силиконовой долины, так и мистер Ляо, ушлый работник компании Foxcon.
По чьему заказу он поставил - вообще темный вопрос, много кто мог заплатить за это.

Ну ладно, фиг с ним с заказчиком.
Закладка это по сути программа, частично в аппаратуре реализовано, частично кодом управляется.
В общем человеком все это написано, сделано.
А что один написал, другой при должном старании может прочитать, поломать. Реверс инжиниринг никто не отменял.

И вот после того как эту закладку кто-то засек, проанализировал, и поломал - что он будет делать?
Правильно - молчать в тряпочку, и использовать эту закладку в своих целях.
Только что это был инструмент врага, и тут раз десять строчек кода, и уже закладка управляется с других серверов.

(31) Госдеп кто ещё мог поставить ;) если-бы дельцы из силиконовой долины не сотрудничали со Старшим Братом антимонопольный комитет уже давно порвал-бы их в клочья ;) Мистер Ляо туда не полезет - потому как понимает что заказчик за ним смотрит и если Ляо попытается то заказы переедут на более лояльную фабрику например в Ирландию или Коста-Рику где вообще всем фиолетово чё там и как.
Ушлый работник разок такое уже было ;) с винтами WD и трояном в HPA который угонял аки World of Warcraft изымали потом всю партию винтов ;)

(32)Ну-ну, найди в Ирландии или Коста-Рике контору готовую предоставить по первому требованию десяток миллионов недорогих, но аккуратных работников.  Там блин населения дееспособного не хватит банально.

(33) Интеловые Процы давно покупал ? Глянь на коробочки сбоку где они производятся ;)

(34) ну они ж не разрабатывают их сами

(34)А что там глядеть везде MALAY.
Из ирландии и костра рики точно не попадались.

Мдя.. спасут только шапочки из фольги, притом на обе головы.

> сверху поступила команда

ну понятно, это заговор..

(5) Первопроходец аноним развеявший ваши сомнения и открывший  великую правду - оно из Кащенко или загона Потупчик?  Ссылаться на один малосвязный маразм для подтверждения другого - какой смысл?

По поводу управления через звук - почти все динамики могут воспроизводить сигналы до 20 Кгц, которые ухо человека слышит достаточно плохо (некоторые не слышат совсем - другие будут слышать "комариный писк", что, например, можно наблюдать на платах FoxConn, в которых фиговый аудиоканал воспроизводит все скачки питания внутри материнской платы и писк слышен достаточно отчётчиво).
Другое дело, что скорость передачи данных в таком случае будет очень мала (как у "двулапного" модема - 14.400 и меньше).
И, раньше, когда не было цифровых микросхем, все радиоуправляемые системы управлялись именно звуком.

Вообще, из-за разнообразия оборудования сделать вирус, который сможет заражать всё - невозможно, а вот сделать такое ПО для конкретной партии машин (или одного "пользователя", за которым следят) вполне возможно - причём, если в системе есть закладка, то после "успешного" лечения вирус может спокойно проникать туда вновь.
Хотя, самый простой способ - загрузка "изменённого" драйвера с сайта производителя, если у устройства поменяется ViD и Pid - то любой системе придётся грузить драйвер - а для этого нужно подключение к сети (или пользователь, который загрузит этот драйвер).
Только надо понимать, что у половины устройств, с дешёвыми контроллерами вообще не предусмотрена никакая замена прошивки - она туда записывается один раз - перед сборкой устройства.
Конечно, можно поверить, что можно изменить прошивку жёсткого диска (особенно, если её часть на самом диске и хранится), но для сетевой карточки или клавиатуры - такое невозможно.

С аудиоканалом - засада - большинство офисных компьютеров не имеют микрофона, так как последний используется только при наличии skype, а там, где есть skype - есть интернет.
Видеокамера - это тоже свойство только ноутбуков.

NYT четыре месяца ломали китайцы, про это у самой Mandiant написано.
Против направленной атаки антивирусы не спасают, это как бы логично. Ибо в 90% защиты сигнатурные и только 10% поведенческие.
Сам автор исходной статьи написал позже: "... was a joke" https://twitter.com/fl1bbl3/status/397780162592641024

(14) факс не сможет передать то, что не слышит человек. телефонная линия имеет полосовой фильтр

43+ а за пределами этих частот работает охранная сигнализация

(44) еще DSL, SDH, G.fast и еще много разного типа факсимильных авваратов полиграфического качества с частотами 48 и 240кГц.

(45) авваратов > аппаратов

(43)Что значит не может? Очень даже может.
Мы же говорим о передаче данных звуком вроде? Динамик факса вполне способен передавать сигнал за пределами слышимости человеческого уха.
А прогнать его через голосовой канал вообще не проблема факс собственно этим и занимается, через голосовой канал гонит изображение.

читал ту статью, чуваку явно нужен эшелон шапочек от фольги.

(47) может мы о разном говорим. что такое динамик факса?

(49)Ну в факсы обычно встраивают динамик или трубку телефонную. Хотя может быть и без него.
Речь вроде шла о том что закладка передает данные звуком.

(50) в квартиру приходит провод с АТС, через него нельзя передать сигнал выше (точно не помню, но скорее всего 3600Гц), там где ADSL используется (правильно правильно здесь заметили) , на АТС что-то меняют, а в квартире устанавливают сплиттер, с 2-мя линиями, одна для факса, другая для высокочастотных сигналов

одна для факса = одна для факса или телефона

(51)
> провод с АТС, через него нельзя передать сигнал выше (точно не помню, но скорее всего 3600Гц)

Провод может много чего передать. Ограничения могут быть на самой железяке АТС или пока с двух сторон сплиттеры не поставили, которые исключают наводки между 0,3 — 3,4 КГц и 26 КГц — 1,4 МГц.

мы о какой-то фигне говорим

(54)Ну хоть кто-то догадался озвучить.

(55) через обычную советскую телефонную линию без вмешательства нельзя передать сигнал за пределами 4КГц, остальное фантазии

(56) телефонная линия это кусок меди, саму АТС не считаем. DSLAM ставится между советской АТС и телефоном в квартире. И как-то он передает больше твоих 4кгц

(57) ну я имел в виду передачу между абонентами АТС

а еще по такому же куску такой же меди передается три программы проводного радио, если кто-то еще слушает его.
Приемник обеспечивает: прием канала звуковой частоты ЗЧ (1-ая программа) с усилением или без усиления, канала радиочастоты РЧ с несущими частотами 78 кГц (2-ая программа) и 120 кГц (3-я программа).

(58) Пиши развернуто, не будет лишних вопросов. Теперь про соверские АТС. До того как на некоторых АТС в конце 80х не начали ставить фильтры от факсов, никто полосу не ограничивал. Современные АТС ограничивают, да, т.к. ее потом оцифровывают и передают через тот же SDH

между аналоговым сигналом и транспортном кодеки есть, забыл написать. Полоса там и ограничивается

Вернемся к теме и включим параноидальный режим.
Надо смотреть осциллографом на физическом и канальном уровне сетевого интерфейса не бегает ли там чего-либо, кроме того что должно бегать. Кроме процессора с закладкой должен быть и трансивер специально подготовлен и маршрутизаторы.

Я помню в советские времена было желание передавать телевизионный сигнал по телефонным проводам. Был собран преобразователь, который пытался передавать сигнал на 8 Мгц - в рамках одной АТС-ки при звонке на телефон изображение кое-как передалось, но потом, когда повесили трубку - оно стало немного хуже, но не исчезло.
В общем, по витой паре телефонной линии можно передавать сигналы достаточно высокой частоты, но, соединительные шкафы вносят серьёзные преграды.
Что касается самого телефонного аппарата, то частота передаваемого звука зависит от применяемого микрофона - раньше были угольные, теперь магнитные или электретные - у них диапазон намного шире - причём он плавно спадает к нолю на границах. Динамики также имеют ограниченный диапазон, но, высокие частоты им доступны, так как там падение КПД намного меньше.
Также следует понимать, что современные телефонные станции цифровые, то есть на входе линии стоит АЦП, который преобразует передаваемый сигнал в цифровой код, и, насколько я помню - там дискрет 8Кгц - так что все рассуждения, что что-то выше пройдёт - безосновательны.
ADSL использует только телефонный кабель, который идёт до станции, а дальше сигнал принимается уже другим модемом, подключённым на станции, то есть используется полоса за пределами телефонного разговора, а так как стоят сплиттеры, то ни телефон ни АТС не могут ни видеть ни мешать передаче других данных.

Что касается заражения сетевых карт, то в сети где-то попадалось описание проблемы, когда пакет IP-телефонии ронял сетевой интерфейс на плате Intel (карточка выключалась и включалась только после отключения питания), как выяснилось, на заводе залили в кристалл прошивку с ошибкой (специально или случайно - так никто и не сказал), но, самое главное, что поменять прошивку на плате можно было только выпаяв кристалл и впаяв новый - то есть дефектные платы были просто неремонтопригодны. Единственный вывод, который можно сделать из этой истории, заключается в том, что нельзя поменять прошивку сетевой карточки на плате.

(62) "не бегает ли там чего-либо, кроме того что должно бегать"
так нужно еще знать, что там ДОЛЖНО бегать...

(64) http://standards.ieee.org/findstds/standard/802.3.1-2013.html