Намерени троянски коне за модификация на BIOS
Злонамереният софтуер инсталира модифициран код в BIOS на системната платка и добавя инструкции, които все още се изпълняват по време на процеса на Boot Up Sequence на компютъра. Руткитът, наречен Trojan.Mebromi, атакува BIOS на Award, произведени от Phoenix Technologies и е много трудно да се отървем от него.
Mebromi работи чрез модифициране на BIOS в ранната фаза на зареждане. Като презаписва главния стартиращ запис (MBR), той може да зарази, преди операционната система да се зареди, което може да изложи Windows XP, 2003, Vista и Windows7 на риск. Във всеки случай заразеният BIOS зарежда файл, наречен hook.com, който проверява дали MBR е заразен и го инфектира отново, ако е необходимо. Досега само такива инфекции са регистрирани от Китай. За щастие, повечето налични в търговската мрежа антивирусни програми вече са способни засичам.
Действия на Мебром.
[+]
Във всеки случай урокът за освобождаването от отговорност е даден на разработчиците на антивирусни програми, тъй като трудността на това очевидно се усложнява от факта, че не е лесно да се напише универсална програма за проверка / освобождаване / възстановяване на BIOS, която е толкова бомбардираща, че не предизвиква възстановяване и гарантирано работи на всяка машина. Определено обаче си струва да се спомене, че на теория не само BIOS на дънната платка може да бъде такава цел, но и всяко устройство, чийто фърмуер може да бъде атакуван, като рутер.
Mebromi създава следните файлове:
- % Temp% \ cbrom
- C: \ bios.bin
- C: \ my.sys
- C: \ calc.exe
Източник: antivirus.blog.hu
