Znaleziono trojany modyfikujące BIOS

Złośliwe oprogramowanie instaluje zmodyfikowany kod w BIOS-ie płyty głównej i dodaje instrukcje, które są nadal wykonywane podczas procesu rozruchu komputera. Rootkit o nazwie Trojan.Mebromi atakuje BIOSy Award wyprodukowane przez Phoenix Technologies i bardzo trudno się go pozbyć.

Mebromi działa poprzez modyfikację BIOS-u we wczesnej fazie rozruchu. Nadpisując główny rekord rozruchowy (MBR), może infekować przed załadowaniem systemu operacyjnego, co może narazić na ryzyko systemy Windows XP, 2003, Vista i Windows7. W każdym przypadku zainfekowany BIOS ładuje plik o nazwie hook.com, który sprawdza, czy MBR jest zainfekowany i w razie potrzeby infekuje go ponownie. Do tej pory tylko takie infekcje zostały zgłoszone z Chin. Na szczęście większość dostępnych na rynku leków przeciwwirusowych już działa wykryć. 

  Działania Mebromi.
[+]

W każdym razie lekcja na temat rozładowania jest udzielana programistom antywirusowym, ponieważ trudność tego jest oczywiście potęgowana przez fakt, że nie jest łatwo napisać uniwersalne narzędzie do sprawdzania / uwalniania / odzyskiwania systemu BIOS, które jest tak odporne na bombardowanie, że nie powoduje regeneracji i gwarantuje działanie na każdej maszynie. Na pewno jednak warto wspomnieć, że teoretycznie takim celem może być nie tylko BIOS płyty głównej, ale także każde urządzenie, którego firmware może zostać zaatakowane, np. router.

Mebromi tworzy następujące pliki:

•  % Temp% \ cbrom
• C: \ bios.bin
• C: \ my.sys
• C: \ calc.exe

źródło: antywirus.blog.hu