BIOS módosító trójait találtakA kártevő módosított kódot telepít az alaplapi BIOS-ba, és olyan utasításokat fűz hozzá, amelyek még a számítógép Boot Up Sequence folyamat alatt hajtódnak végre. A Trojan.Mebrominak nevezett rootkit a Phoenix Technologies által gyártott Award BIOS-okat támadja, és igencsak nehezen lehet tőle megszabadulni.

A Mebromi a korai rendszerindítási szakaszban a BIOS módosításával operál. A Master Boot Rekord (MBR) átírásával még az operációs rendszer betöltése előtt képes fertőzni, ezzel pedig a Windows XP, 2003, Vista és Windows7 rendszerek kerülhetnek veszélybe. A fertőzött BIOS minden esetben betölt egy hook.com nevű fájlt, amely azt ellenőrzi, vajon fertőzött-e az MBR, és szükség esetén újrafertőzi azt. Egyelőre csak Kínából jelentettek ilyen fertőzéseket. A kereskedelmi forgalomban lévő antivírusok többsége szerencsére már képes detektálni

Mebromi-BIOS-Virus-Out-in-the-Wild-2
  A Mebromi  ténykedései.
[+]

A mentesítéssel kapcsolatos lecke mindenesetre fel van adva az antivírus fejlesztőknek, ugyanis ennek nehézségét nyilván fokozza, hogy nem egyszerű olyan univerzális BIOS ellenőrző/mentesítő/helyreállító utilityt írni, amely annyira bombabiztos, hogy a helyreállítással nem okoz bajt, és garantáltan minden egyes gépen működik. Azt viszont mindenképpen érdemes megemlíteni, hogy elméletileg nemcsak az alaplapi BIOS lehet ilyen célpont, hanem minden olyan eszköz, amelynek a firmware-jét támadni lehet, ez lehet például akár egy router is.

A Mebromi a következő állományokat hozza létre:

  •  %Temp%\cbrom
  • C:\bios.bin
  • C:\my.sys
  • C:\calc.exe

Forrás: antivirus.blog.hu