Wracają BIOS-trojany

14 września 2011 0 przez Marcin Kaczmarek

Chińska firma 360 zajmująca się rozwiązaniami antywirusowymi wykryła na wolności wirusa, który "zamieszkuje" w BIOS-ie komputera i jest niewykrywalny dla skanerów antywirusowych. Malware o nazwie Mebromi instaluje się w kościach pamięci zawierających Award BIOS, jednak twórcy szkodnika przewidzieli również wersję dla komputerów z innym BIOS-em innym – malware infekuje wtedy od razu dysk twardy.

Jeśli komputer wykorzystuje Award BIOS, działający w linii poleceń program CBROM kopiuje własny kod do BIOS-u. Podczas następnego uruchomienia komputera szkodnik wgrywa do sektora MBR dodatkowy kod, który powoduje zainfekowanie plików winlogon.exe lub winnt.exe, jeszcze zanim system Windows zostanie uruchomiony.

Następne uruchomienie Windows to etap pobrania z sieci rootkita, który ukrywa infekcję w MBR i zapobiega wykryciu i usunięciu kodu trojana przez skaner antywirusowy. Nawet jeśli dysk zostanie całkowicie wyczyszczony, procedura infekowania dysku z BIOS-u powtarza się podczas kolejnego włączania komputera.

Na pocieszenie można dodać, że do tej pory żaden szkodnik atakujący BIOS nie rozprzestrzenił się w internecie na dobre, co może wynikać z dużej różnorodności płyt głównych, BIOS-ów, a także sposobów ich flashowania.