 Chiński sprzedawca AV 360 odkrył właśnie krążący na wolności wirus, który zaszywa się w Biosie komputera. Tym samym szkodnik o imieniu Mebromi skutecznie ukrywa się przez skanerami antywirusowymi.
Mebromi podczas infekowania sprawdza czy komputer używa biosu firmy Award. Jeśli tak, to używa narzędzia CBROM do dostania się do biosu. Przy następnym starcie komputera umieszcza on dodatkowy kod na dysku użytkownika do MBRu w celu zainfekowania plików inicjalizacyjnych Windowsa. Infekowane są winlogon.exe oraz winnt.exe dla systemów Windows XP, 2003 oraz starego Windows 2000.
Następnie szkodnik pobiera z sieci specjalnego rootkita, która nie pozwoli skanerom antywirusowym usunąć szkodnika z MBR. Jeśli jednak uda się oczyścić sektor MBR, szkodnik ponownie zaczyna zabawę od uruchomienia się z Biosu. Dzięki temu też, szkodnik Mebromi przetrwa nawet zmianę dysku twardego. W przypadku, gdy Mebromi nie znajdzie biosu firmy Award, wtedy infekuje tylko MBR dysku twardego.
Co ciekawe, od dawna nie było widać szkodników dodających swój kod do Biosu, chociaż pomysł nie jest nowy i przykładem może być wirus CIH z 1999 roku. Niestety w jego przypadku uruchomienie komputera stawało się niemożliwe.
Źródło: http://www.h-online.com |
