Trojaanse paarden voor BIOS-modificatie gevonden
De malware installeert gewijzigde code in het BIOS van het moederbord en voegt instructies toe die nog steeds worden uitgevoerd tijdens het opstartproces van de computer. Een rootkit genaamd Trojan.Mebromi valt Award BIOS aan, vervaardigd door Phoenix Technologies en is zeer moeilijk te verwijderen.
Mebromi werkt door het BIOS in de vroege opstartfase aan te passen. Door het Master Boot Record (MBR) te overschrijven, kan het infecteren voordat het besturingssysteem wordt geladen, wat Windows XP, 2003, Vista en Windows7 in gevaar kan brengen. In elk geval laadt het geïnfecteerde BIOS een bestand met de naam hook.com, dat controleert of de MBR is geïnfecteerd en indien nodig opnieuw infecteert. Tot nu toe zijn alleen dergelijke besmettingen gemeld vanuit China. Gelukkig zijn de meeste in de handel verkrijgbare antivirale middelen al in staat detecteren.
Acties van Mebrom.
[+]
In ieder geval wordt de les over de ontlading gegeven aan antivirusontwikkelaars, omdat de moeilijkheid hiervan duidelijk wordt verergerd door het feit dat het niet gemakkelijk is om een universeel BIOS-controle-/release-/herstelprogramma te schrijven dat zo bombardementsbestendig is dat het veroorzaakt geen herstel en werkt gegarandeerd op elke machine. Het is echter zeker het vermelden waard dat in theorie niet alleen het moederbord-BIOS zo'n doelwit kan zijn, maar ook elk apparaat waarvan de firmware kan worden aangevallen, zoals een router.
Mebromi maakt de volgende bestanden aan:
- % Temp% \ cbrom
- C: \bios.bin
- C: \ mijn.sys
- C: \ calc.exe
bron: antivirus.blog.hu
