拔掉網路線、Wi-Fi、藍牙，依然可以發號施令！詭異病毒 BadBios 嚇駭頂尖資安專家

▲Dragos Ruiu

三年前，Dragos Ruiu在他的實驗室裡頭，才剛剛幫他的MacBook Air更新了OS X，之後沒多久他就注意到一件奇怪的事情：他的筆電在自動更新BIOS。然後當他嘗試要從光碟機啟動電腦的時候，被電腦拒絕了。他同時也發現他的電腦會自動刪除某些資料，並且在沒有任何提示的情況下，把一些原本弄好的設定給恢復回來。事情雖然古怪，但當時因為時間已經很晚了，加上他想或許是新灌好的系統哪裡步驟出了錯，也不以為意，就去睡覺了。

結果在接下來的幾個月，發生在Dragos Ruiu身上的事情簡直就是科幻恐怖片的情節：他實驗室中一台執行Open BSD系統的電腦也開始自作主張地刪除資料，以及自動調整設定；他發現網路內有些資料透過IPv6在傳輸數據，甚至是從那些原本已經把電腦的IPv6協定關閉的電腦；最離奇的是，這些被感染的機器，就算是拔除了網路線、移掉了Wi-Fi、藍芽卡，依然還是能對實驗室中其他的電腦發號施令，而且還橫跨了 Windows 、Linux 等不同的平台。

▲這種病毒頑強的程度就跟僵屍一樣。

最後，Dragos Ruiu做了所有資安專家都會做的事情：他將實驗室中所有的系統都重新清除再安裝。但是，在接下來的這三年間，這個感染依然斷斷續續地發生，就像是細菌增生一樣。他只好一遍又一遍地重複這樣的動作。

病毒最明顯的徵兆是被感染的電腦都無法從光碟機開機啟動，不過為了偵測出更多關於病毒的行為，他採用了一些類似Process Monitor的工具，用來觀察病毒的行為。由這裡他發現更驚人的是，他採用了「airgaps」的設計來隔絕受感染以及可能受感染的電腦，「airgaps」的意思就是將這些電腦完整地隔絕在實驗室的網路之外，不管是有線或是無線的，就算採取這樣的措施，這些病毒似乎還有自我治療的能力。

▲airgaps是用來將電腦隔絕一切接觸外界環境的程序。

「有一台受感染的電腦採用了airgaps的措施，我們重裝了他的BIOS，全新沒有任何資料的硬碟也剛裝上去，透過原版Windows安裝光碟裝上了系統。」Ruiu對採訪的記者表示，「沒有多久，當我們要安裝我們的Process Monitor工具時，我們發現這台電腦的registry編輯器被disabled了。這時我們不由得想：嘿，這真是太不科學了！這台電腦怎麼可能去攻擊我們正準備要用來攻擊他的程式？我的意思是說，這是一台已經採用過airgaps隔絕的機器，然後就當我們正準備透過registry編輯器去搜尋病毒特徵的時候，所有的搜尋功能就被禁止了！」

遇到這種事，就連資安專家Ruiu也無計可施。他在接下來的兩週在他的Twitter、Facebook、Google+上都描述了他對於這個病毒的調查，而這也引起世界上其他的頂尖資安專家的注意。

Ruiu認為這個病毒是透過USB裝置感染了電腦的底層硬體，攻擊了電腦的BIOS、UEFI，也可能感染了其他的韌體裝置。這個病毒可以攻擊多種的平台，逃避一般的偵測方式，以及從各種企圖毀滅它的行為中存活下來。其中，最困擾Ruiu的一點是，當所有的網路都被隔絕之後，這個病毒到底是用什麼方式擴散傳染給其他的電腦？

但是隨著這個事件繼續的偵察下去，Ruiu在一次意外中發現，隨著他移除了電腦內部的揚聲器以及麥克風之後，電腦的感染狀況竟然奇蹟似停止了。在他嘗試了幾台電腦都得到這樣的結果之後，他判斷，病毒是利用揚聲器發出一種人耳偵測不到的高頻聲音，而透過另一台電腦的麥克風接收到這個高頻，以此來進行病毒之間溝通的方式。

(後續面還有：關於BadBIOS該知道的4+1件事情）