Byly nalezeny trojské koně s modifikací systému BIOS
Malware nainstaluje upravený kód do systému BIOS na základní desce a přidá pokyny, které jsou stále prováděny během procesu Boot Up Sequence počítače. Rootkit s názvem Trojan.Mebromi útočí na BIOSy BIOSů vyráběné společností Phoenix Technologies a je velmi obtížné se ho zbavit.
Mebromi funguje tak, že upraví BIOS v počáteční fázi spouštění. Přepsáním Master Boot Record (MBR) se může nakazit před načtením operačního systému, což může ohrozit Windows XP, 2003, Vista a Windows7. V každém případě nakažený BIOS načte soubor s názvem hook.com, který zkontroluje, zda je MBR infikován, a v případě potřeby jej znovu nakazí. Dosud byly z Číny hlášeny pouze takové infekce. Naštěstí většina komerčně dostupných antivirotik už je schopná detekovat.
Činy Mebromiho.
[+]
V každém případě je lekce o vypouštění dána vývojářům antivirových programů, protože obtížnost toho je zjevně umocněna skutečností, že není snadné napsat univerzální nástroj pro kontrolu / uvolnění / obnovu systému BIOS, který je tak odolný vůči bombardování, že nezpůsobuje obnovu a je zaručeno, že bude fungovat na každém počítači. Rozhodně však stojí za zmínku, že teoreticky může být takovým cílem nejen BIOS základní desky, ale také jakékoli zařízení, na jehož firmware lze útočit, například router.
Mebromi vytvoří následující soubory:
- % Temp% \ cbrom
- C: \ bios.bin
- C: \ my.sys
- C: \ calc.exe
zdroj: antivirus.blog.hu
