BIOS-Modifikationstrojaner gefunden

Die Malware installiert modifizierten Code im Systemplatinen-BIOS und fügt Anweisungen hinzu, die noch während des Startvorgangs des Computers ausgeführt werden. Das Rootkit namens Trojan.Mebromi greift Award-BIOS von Phoenix Technologies an und ist sehr schwer zu entfernen.

Mebromi arbeitet, indem es das BIOS in der frühen Bootphase modifiziert. Durch das Überschreiben des Master Boot Record (MBR) kann es vor dem Laden des Betriebssystems infiziert werden, was Windows XP, 2003, Vista und Windows 7 gefährden kann. In jedem Fall lädt das infizierte BIOS eine Datei namens hook.com, die überprüft, ob der MBR infiziert ist und ihn gegebenenfalls erneut infiziert. Bisher wurden nur solche Infektionen aus China gemeldet. Glücklicherweise sind die meisten im Handel erhältlichen antiviralen Medikamente bereits fähig zu erkennen. 

  Aktionen von Mebrom.
[+]

In jedem Fall wird Antivirus-Entwicklern die Lektion über die Veröffentlichung gegeben, da die Schwierigkeit offensichtlich durch die Tatsache verschlimmert wird, dass es nicht einfach ist, ein universelles BIOS-Check / Release / Recovery-Dienstprogramm zu schreiben, das so bombenfest ist, dass es verursacht keine Wiederherstellung und funktioniert garantiert auf jedem Computer. Es ist jedoch definitiv erwähnenswert, dass theoretisch nicht nur das Motherboard-BIOS ein solches Ziel sein kann, sondern auch jedes Gerät, dessen Firmware angegriffen werden kann, wie beispielsweise ein Router.

Mebromi erstellt die folgenden Dateien:

•  % Temp% \ cbrom
• C: \ bios.bin
• C: \ my.sys
• C: \ calc.exe

Quelle: antivirus.blog.hu