ウイルスによって書き換えられたBIOSデータの修復

ウイルスによってBIOSデータを書き換えられた場合、そのBIOSデータを正常なデータに修復する方法について教えてください。

1

A
PC電源を入れたときに、BIOSユーティリティを起動し[Load BIOS Defaults]を選択

B
同じバージョンのBIOSで上書き

C
最新のバージョンのBIOSで上書き


このA・B・Cのそれぞれのパターンについて、

α BIOSデータはすべて上書きされ、ウイルスによって書き換えられたBIOSデータは一切残らない

β BIOSデータは全て上書きされるわけではなく、ウイルスによって書き換えられたBIOSデータの一部は上書きされず残る

γ BIOSデータは全て上書きされるわけではなく、ウイルスによって書き換えられたBIOSデータすべてが上書きされず残る

のケースが考えられると思います。


[BIOSデータはすべて上書きされ、ウイルスによって書き換えられたBIOSデータは一切残らない]状態にするには、A,B,Cのどの方法がよいでしょうか？



2

windows起動後のユーザーアカウントのログイン後の状態からBIOSの上書きをする場合、BIOSに感染したウイルスによってその上書き作業がブロックされるということは考えられるでしょうか？

念のため、

○セーフモード画面から実行

または

○上書き用のBIOSデータをCD-ROMディスクに保存し、パソコン電源入力後、CD-ROMドライブからブートして上書き用のBIOSデータを実行


をした方が良いでしょうか？


3
BIOSデータが書き換えられた場合、SMBIOSに関しても何らかの修復作業は必要になるのでしょうか？

No.11 回答者： lazydog1 回答日時： 2013/02/28 22:30

　ご理解された通りです。

　できることはできる。無理なことは無理。

　そういうことになります。

No.10 回答者： cozycube1 回答日時： 2013/02/28 17:22

　お礼、ありがとうございます。

#9です。

　そこまで、お尋ねとあらば、お答えしたします。

　CDなり、果てはPCなりなんなり、さらにはウイルスなりなんなり、作った人にしか分かりません。

　要は、それが全てです。

　とはいえ、同業者には分かることもあります。今までの回答は、元PCソフト屋（まっさらなPCを作る過程も担当したということで）としての見解です。

　それで、ご容赦頂きたく存じます。

この回答へのお礼

=============================================
CDなり、果てはPCなりなんなり、さらにはウイルスなりなんなり、作った人にしか分かりません。

要は、それが全てです。
=============================================


とことん厳密にいくなら

一概に決められず、書き換えられたBIOSデータの内容・容量とBIOS更新プログラムの内容に応じて、α・β・γのどれになるかは変わってくる

と理解しました。



＞とはいえ、同業者には分かることもあります。

大まかに考えるなら、どうでしょうか？

お礼日時：2013/02/28 17:57

No.9 回答者： cozycube1 回答日時： 2013/02/28 16:20

　お礼、ありがとうございます。

#8他です。

　ご理解された通りです。

　他人を困らせる、利用したいだけといった、嫌な世の中になりましたね。

　ウイルスの発端は冗談のいたずらだそうです。それも今は昔といったところでしょうか。

この回答へのお礼

cozycube1様、何度もお答えくださりありがとうございます。


もう教えて頂いても意味がなくなってしまったのですが気になるので最後に1つだけお願いします。


感染したBIOSの妨害にも関わらず、起動CDが正常・完全に起動し、ハードディスクのMBR部分も読みこまず、BIOS更新ブログラムも正常・完全に実行された場合
(感染したBIOSがBIOS更新ブログラムの実行過程とその実行に全く影響力を及ぼす事が出来ない場合です)


α BIOSデータはすべて上書きされ、ウイルスによって書き換えられたBIOSデータは一切残らない

β BIOSデータは全て上書きされるわけではなく、ウイルスによって書き換えられたBIOSデータの一部は上書きされず残る

γ BIOSデータは全て上書きされるわけではなく、ウイルスによって書き換えられたBIOSデータすべてが上書きされず残る

の3通りが考えられますが、この内のどれが正しいでしょうか？


それとも、一概に決められず、書き換えられたBIOSデータの内容・容量とBIOS更新プログラムの内容に応じて、α・β・γのどれになるかは変わってくるのでしょうか？

お礼日時：2013/02/28 17:05

No.8 回答者： cozycube1 回答日時： 2013/02/28 14:23

　お礼、ありがとうございます。

#7他です。

　CDから起動できた場合、どういう動作か。それはCD次第です。

　起動に使ったCDで起動できたとき、そのCD上にあるプログラムが使えるか。それは、CDとPCのハードウェア（ウイルスに感染したハードディスクを含んでしまう）次第です。

　それが、ネットで言われている、「ウイルス対策ソフト会社PCメーカに相談すべき」ということです。

　ここで聞けることには限度があります。私は、私にできる限度まで説明したつもりです。これ以上は説明できることはありません。申し訳ありません。これ以上については、質問者様が勉強するしかありません。

この回答へのお礼

>CDから起動できた場合、どういう動作か。それはCD次第です。

起動CDのOSの種類やOSのカスタマイズ具合によって
ハードディスク上のMBRを自動的に読み込む時と読み込まないときがある。
要するにケースバイケースである。


起動CDの起動が確認できた場合でも、BIOSでその起動をブロックする動作がなされていれば、起動CDが不完全に起動している場合と完全・正常に起動している場合に分けられる。

どちらに転ぶかは、起動を阻止しようとする感染したBIOSデータの内容と起動CDの種類に応じて変わってくる。


>起動に使ったCDで起動できたとき、そのCD上にあるプログラムが使えるか。それは、CDとPCのハードウェア（ウイルスに感染したハードディスクを含んでしまう）次第です。


BIOS書き換えプログラムの実行がとりあえず確認できた場合でも、感染したBIOSがBIOS書き換えプログラムを読み込む時に、その実行をブロックする動作がなされていれば、BIOS書き換えプログラムが不完全に実行される場合とBIOS書き換えプログラムが完全に実行される場合に分かれる。

どちらに転ぶかは、BIOS書き換えプログラムの実行を阻止しようとする感染したBIOSデータの内容と起動CDのOSの内容とBIOS書き換えプログラムの種類に応じて変わってくる。


以上のように理解しましたが、合っていますでしょうか？

お礼日時：2013/02/28 16:02

No.7 回答者： cozycube1 回答日時： 2013/02/28 05:27

　お礼、ありがとうございます。

#6他です。

　CDで起動できればCD上のOSが読み込まれます。CDがLinuxをOSとしていても何の問題もありません。もし起動CDが、ハードディスク上のOSを読みこむような場合でも、MBRを除外していれば大丈夫です。

　起動できるCDがあり、さらにそこにBIOS書き換えプログラムが用意されているかどうかですね。もし、そうしたものがないなら、考えても仕方ありません。

　そういう起動可能なCDがあるとします。それでも問題は、CDで起動することはBIOSによって行われるし（正確にはハードディスク同様、CD上の起動プログラムを読み込み、制御を委ねる）、起動後にCD上のプログラムを読み込むことも、最後にはBIOSによって行われることです。

　もし、BIOSを乗っ取ったウイルスが、自分自身が削除される可能性を妨げるように作られていれば、自分を削除するようなPCの動作をさせない、たとえばハードディスク以外での起動をしないようにしている可能性があります。

　それらがOKであって、BIOSの書き換えプログラムが実行でき、画面上でプログラムのメッセージ等を見たところ、書き換えプログラムの仕様通りに正常に行えたとします。

　そうした部分はBIOSの機能にはない動作であり（もちろん、BIOSの上位の制御プログラムであるOSの機能でもない）、書き換えプログラムが直接にハードウエアを操作して行っており、BIOSがウイルスに感染しているかどうかは関係なく、単純に書き換えプログラムを信用してOKです。

この回答へのお礼

cozycube1様、ありがとうございます。


1

>起動CDが、ハードディスク上のOSを読みこむような場合でも、MBRを除外していれば大丈夫です。

knoppixのように、起動CDがハードディスクの存在を認識し、そのハードディスクの中の各ファイルを読み取れることがあります。

起動CDのOSの種類に関係なく、起動CDがハードディスクが存在することを認識した段階で、すでにそのHDDのMBRは読み込まれているのでしょうか。

それとも起動CDのOSの種類に関係なく、起動CDがハードディスクの存在を認識した段階ではまだHDDのMBRは読み込まれず、そのHDDを開いて中身のファイルを読み取れる状態になった時に、そのHDDのMBRは読み込まれたということになるのでしょうか？


2

起動CD内のBIOS書き換えプログラムの実行をウイルス感染したBIOSが妨げるには、

A 起動CDを起動させるとき
B 起動後にCD上のBIOS書き換えプログラムを読み込むとき

の2つだと思います。


Aにおいて、起動CDが無事に起動したように思えても、実はBIOSがその起動をブロックしようと活動しているケースはあると思います。

BIOSのブロック活動のために、起動CDは正常に起動しているように見えるが、一部が正常に起動していないために起動後のCDのOS環境が不完全で、その後のBIOS書き換えプログラムの実行が不完全になる(書き換えプログラムの多くは実行されるが、実は書き換えプログラムの一部が機能していない)ことはありえますでしょうか？

それともBIOSがその起動をブロックしようとしたとしても、起動CDが起動しないのではなく、起動したという事実だけでその起動CDは完全・正常に起動したと考えてよいでしょうか？



Bにおいて、BIOSの書き換えプログラムが実行できたとしても、BIOSはCD上のBIOS書き換えプログラムの読み込みをブロックしようとしたがそのブロックは中途半端に終わり、BIOS書き換えプログラムの多くは正常に実行されたが、一部は実行されなかった、ということも考えられるでしょうか。

それともBIOSの書き換えプログラムが実行できたという事実だけで、BIOSはCD上のBIOS書き換えプログラムの読み込みをブロックしようとしていたとしても、BIOS書き換えプログラムはすべて正常・完全に実行されたと考えられるのでしょうか。

お礼日時：2013/02/28 13:53

No.6 回答者： cozycube1 回答日時： 2013/02/26 22:32

　お礼、ありがとうございます。

#5他です。

>BIOSデータが不揮発性メモリにあるとすると、やり方はわかりませんが、その不揮発性メモリに書き込むことが出来れば、ウイルス感染によって書き換えられたBIOSデータは上書き(消去)できるのではないでしょうか？

　そういうことです。不揮発性といっても、現在のPCでは書き換え可能なメモリが使われていることが多いです。そうだからこそ、ウイルスがBIOSを書き換えてしまうといったことも起こるわけですね。

　問題は、CD起動できるのか（BIOSの管轄）、CD起動したとして、CD上に使用可能なBIOS書き換えプログラムがあるのか（PCを起動したCDによるOSの管轄だが、読み取りはBIOSを使用する）、といったことになります。BIOSがウイルスに乗っ取られていると、もしBIOSの書き換えが可能な起動CDがあっても、こうした操作ができない可能性があります。

　BIOSを搭載した不揮発性メモリ自体を差し替える（場合によっては半田付け作業になる）ことができれば、さすがにウイルスが邪魔することはできません。これは、PC（のマザーボード）のハードウエア次第です。

　そうして、BIOSを復旧できたとしたら、今度はハードディスクのMBR（BIOSから軌道を引き継がれる最初のプログラムが格納されている）が読み込まれないよう、ハードディスクを回避したCD起動などで、MBRを含めてOSを復旧することになります。パーティションの再設定などにより、MBRをいったんクリアするのが安全かと思います。

　なお、BIOSの設定が格納されているメモリ（CMOS等）については、対策は必要ありません。そこには動作するプログラムを仕込むことはできません。

この回答へのお礼

cozycube1様、丁寧に教えてくださりありがとうございます。


===========================================================
CD上に使用可能なBIOS書き換えプログラムがあるのか（PCを起動したCDによるOSの管轄だが、読み取りはBIOSを使用する）
===========================================================

ただ↑について私の知識では分からないのでご教授願います。


1

[PCを起動したCDによるOSの管轄]とは、

起動CDのOSの種類が BIOS書き換えプログラムの実行に対応しているかどうか、ということでしょうか？

起動CDのOSがWindosPEだと、BIOS書き換えプログラムが実行できるが
起動CDのOSがLinuxだと、BIOS書き換えプログラムは実行できない

というように、BIOS書き換えプログラムを実行できるOSを起動ディスクで使用しているのか、
ということを指しているのでしょうか。


2

[読み取りはBIOSを使用する]とは

BIOSを書き換えるには、CD内のBIOS書き換えプログラムがBIOS-ROMにアクセスしてBIOSデータを読み取れることが前提として必要、ということでしょうか？


またそうだとすると、「BIOS書き換えプログラムがBIOS-ROMにアクセスしてBIOSデータを読み取れているかどうか」を判断するにはどうすればよいのでしょうか？

お礼日時：2013/02/27 14:59

No.5 回答者： cozycube1 回答日時： 2013/02/26 07:04

　お礼、ありがとうございます。

#1です。

　BIOS乗っ取り型のウイルスについては、仰っておられる通りで、正しく理解されていると思います。

　近年の例では、以下のようなものがあります。

http://www.symantec.com/connect/blogs/bios

　ウイルスの初期動作として、ネットに接続することを前提としている可能性は低いでしょう。BIOSを乗っ取ったウイルスは、ハードディスクのMBR（BIOSがハードディスクから最初にロードするプログラムで、以降はそのプログラムが起動を続行する）を感染させます。そのため、OSのクリーンインストールでも対処できません。

　OSはBIOSを使ってハードディスクの読み書きを行います。MBRが感染しただけでも、ウイルス対策ソフトを含めたソフトがハードディスクを読み書きに行っても、本当のMBRが読み書きされないようにしてしまいます（こっそり、別の場所に誘導してしまう）。そのため、通常の方法ではMBR感染は検出も修復もできません。

　BIOS乗っ取りウイルスだと、さらにハードディスクの読み書きを実際に行うプログラム自体がウイルスとなってしまいます。CD起動などでの、最後の頼み綱がウイルスに支配されているわけで、もっと難しい事態です。

　こうしたことは、BIOSがアップデートできるようになったことが利用されてしまっています。昔はBIOSの書き換えには、PCから取り出して、専用の装置を使う必要がありました。今はPCでの操作でできる利便性があるわけですが、それが悪用されています。

　既知のものであれば、それらはハードディスク上のファイルを感染させるものばかりですので、ウイルス対策ソフトで検出は可能です。BIOSではOSがファイルをどう管理しているかは分かりませんし、MBRが感染していても同様です。

　検出できたとしても、対策できるかどうかですね。

　PCによっては、故障などに備えてBIOSを複数持っている場合があります。それが、スイッチ操作で切り替えといった、ソフトウエア制御でない場合は、CD起動などのハードディスク起動を避けることを併用して、BIOSの切り替えで対処できる可能性があります。

　そうでない場合は、CD起動などでハードディスクのMBRを回避して、BIOS書き換えプログラムを動作させる、それができないようだと、マザーボードの交換くらいでしょうか。こうしたことは、ウイルスソフト対策会社とメーカの双方に相談するしかなさそうです。

P.S.

　なお、BIOS設定の保持に使われているメモリ（電池バックアップや不揮発性メモリ等）をクリアしても、BIOSを乗っ取ったウイルスは削除も動作抑制もできません。そこにウイルス本体がいるわけではありませんので。

この回答へのお礼

=============================================
BIOS乗っ取りウイルスだと、さらにハードディスクの読み書きを実際に行うプログラム自体がウイルスとなってしまいます。CD起動などでの、最後の頼み綱がウイルスに支配されているわけで、もっと難しい事態です。
=============================================

BIOSがウイルスによって書き換えられると、その書き換えられたBIOSは
ハードディスクの書き込みについて自由に制御できる。

それではBIOSがウイルスによって書き換えられると、BIOS起動後のCDドライブからブートして、そのCDドライブに入れたCDのデータをBIOSへ書き込むことも制御できる(書き込み禁止にできる)のでしょうか？


=============================================
そうでない場合は、CD起動などでハードディスクのMBRを回避して、BIOS書き換えプログラムを動作させる、それができないようだと、
=============================================

これはBIOSがウイルスによって書き変えられても、その書き換えられた内容次第で
BIOS起動後のCDドライブのブートからCDのデータをBIOSへ書き込む際に、BIOSへ書き込める場合と書き込めない場合がある、ということでしょうか？

ある書き換えられたBIOSデータの場合は、BIOS起動後のCDドライブのブートからCDのデータをBIOSへ書き込めるし
別の書き換えられたBIOSデータでは、BIOS起動後のCDドライブのブートからCDのデータをBIOSへ書き込めない

ということが発生するということでしょうか？

そして、BIOSへ書き込めない場合はマザーボードの交換をしてBIOSデータがある不揮発性メモリそのものを変えてしまうのも、1つの解決方法であると。

=============================================
なお、BIOS設定の保持に使われているメモリ（電池バックアップや不揮発性メモリ等）をクリアしても、BIOSを乗っ取ったウイルスは削除も動作抑制もできません。そこにウイルス本体がいるわけではありませんので。
=============================================

http://okwave.jp/qa/q7051379.html

↑に[BIOSは「不揮発性メモリ」、CMOSは「揮発性メモリ」に書き込まれている。]

とあります。

ボタン電池を外すとか、ジャンパーピンのショートではCMOS内のデータが消えるだけでBIOSデータは消えないと思うのですが
BIOSデータが不揮発性メモリにあるとすると、やり方はわかりませんが、その不揮発性メモリに書き込むことが出来れば、ウイルス感染によって書き換えられたBIOSデータは上書き(消去)できるのではないでしょうか？

お礼日時：2013/02/26 20:36

No.4 回答者： yukidensi 回答日時： 2013/02/25 22:58

最近というのは、3~4年前のことです。

もしかすると、これより前からなかったかもしれません。

この回答へのお礼

>最近というのは、3~4年前のことです。

3台のxpパソコンは2006年発売が1台,2007年発売が2台です。
5,6年前のパソコンでやはり古いですね。


>パソコンを分解して、中のボタン電池をはずすしかありません

BIOSデータとCMOSクリアの関係が理解できていないのですが、ボタン電池をはずすとはCMOSクリアのことですよね。

CMOSクリアによって、ウイルスで書き換えられたBIOSデータも消去されるのでしょうか？

お礼日時：2013/02/25 23:26

No.3 回答者： yukidensi 回答日時： 2013/02/25 17:23

最近のウイルスでBIOSの感染するものはまずありません。

BIOSが書き換えられてしまうと、セーフモードだろうが、CDでの書き換えだろうが、その前にウイルスが読み込まれるので、修復するのは難しいでしょう。最近では、別のICでBIOSを書き換えられるパソコンなどもあるそうですが、メーカー製のパソコンではまずあり得ません。ということで、もしも、このようなウイルスの感染したら、素直にあきらめるしかありません。どうしても諦められないならメーカー修理に出すか、パソコンを分解して、中のボタン電池をはずすしかありません。

この回答へのお礼

>最近のウイルスでBIOSの感染するものはまずありません。

[最近]とは具体的にいつごろからを指しますでしょうか？

家庭内に中古で購入した古い3台のXPパソコンがあり、現在使用しています。

今はBIOS感染の心配はまずないのであれば
来年にはxpのサポートが終了するので、懐具合が厳しくなりますが
windows8の新しいパソコンを買うのも有効ですね。

お礼日時：2013/02/25 22:29

No.2 回答者： Eureka_ 回答日時： 2013/02/25 14:41

最近のウイルスにBIOS書き換えを行うものがあるとも考えにくい(自己変異性をかなり制約するしそこからの発展性も薄い)ですが、そういうのにやられた場合は物理的に2つBIOSを積んでるような機種でないと対処不可能かと思います。

BIOSってのはシステムがブートするのどうのという以前に動くプログラムなんですから、言ってしまえばやりたい放題、自己を削除しようという試みには相当なレベルで対策しています。

「同一機種を持ってきて正常なシステムでBIOS更新プログラムを起動→更新プログラムが起動した段階でBIOS ROMをウイルスで破壊されたものに差し替え→そのまま無理矢理BIOSを書き込み」とか、それこそROMライターを持ってきて直接書き換えるとか、とにかくウイルス感染したBIOSを経由せずにそれを書き換える手段が必要でしょう。
BIOSがソケット式でなければ半田ごての出番になりそうです。

この回答へのお礼

BIOSの修復はあきらめまして、ウイルス感染によってBIOSが書き換えられているかどうかの確認方法を探りたいと思います。

初めてネットに接続したときにマルウェアのあるURLに接続していくかどうかで
BIOSのウイルス感染を調べる方法は果たして有効でしょうか？

お礼日時：2013/02/25 22:18