BIOS-modifikationstrojanere fundet
Malwaren installerer ændret kode i systemkortets BIOS og tilføjer instruktioner, der stadig udføres under computerens Boot Up Sequence-proces. Rootsættet kaldet Trojan.Mebromi angriber Award BIOS'er fremstillet af Phoenix Technologies og er meget vanskeligt at slippe af med.
Mebromi fungerer ved at ændre BIOS i den tidlige opstartsfase. Ved at overskrive Master Boot Record (MBR) kan den inficere, før operativsystemet indlæses, hvilket kan bringe Windows XP, 2003, Vista og Windows7 i fare. I begge tilfælde indlæser den inficerede BIOS en fil kaldet hook.com, som kontrollerer for at se, om MBR er inficeret og om nødvendigt inficerer den igen. Indtil videre er kun sådanne infektioner rapporteret fra Kina. Heldigvis er de fleste kommercielt tilgængelige antivirale stoffer allerede i stand at opdage.
Handlinger af Mebrom.
[+]
Under alle omstændigheder gives lektionen om decharge til antivirusudviklere, da vanskeligheden ved dette åbenlyst forstærkes af det faktum, at det ikke er let at skrive et universelt BIOS-kontrol- / frigivelses- / gendannelsesværktøj, der er så bombardert, at det forårsager ikke genopretning og fungerer garanteret på alle maskiner. Det er dog bestemt værd at nævne, at i teorien ikke kun bundkortets BIOS kan være et sådant mål, men også enhver enhed, hvis firmware kan angribes, såsom en router.
Mebromi opretter følgende filer:
- % Temp% \ cbrom
- C: \ bios.bin
- C: \ my.sys
- C: \ calc.exe
Kilde: antivirus.blog.hu
