Chevaux de Troie de modification du BIOS trouvés
Le logiciel malveillant installe le code modifié dans le BIOS de la carte système et ajoute des instructions qui sont toujours exécutées pendant le processus de séquence de démarrage de l'ordinateur. Le rootkit, appelé Trojan.Mebromi, attaque les BIOS Award fabriqués par Phoenix Technologies et est très difficile à éliminer.
Mebromi fonctionne en modifiant le BIOS au début de la phase de démarrage. En écrasant le Master Boot Record (MBR), il peut s'infecter avant le chargement du système d'exploitation, ce qui peut mettre en danger Windows XP, 2003, Vista et Windows7. Dans chaque cas, le BIOS infecté charge un fichier appelé hook.com, qui vérifie si le MBR est infecté et le réinfecte si nécessaire. Jusqu'à présent, seules de telles infections ont été signalées en Chine. Heureusement, la plupart des antiviraux disponibles dans le commerce sont déjà capables détecter.
Actions de Mebrom.
[+]
Dans tous les cas, la leçon sur la décharge est donnée aux développeurs d'antivirus, car la difficulté de ceci est évidemment aggravée par le fait qu'il n'est pas facile d'écrire un utilitaire universel de vérification/libération/récupération du BIOS qui soit si résistant aux bombardements qu'il ne provoque pas de récupération et est garanti de fonctionner sur chaque machine. Cependant, il convient de mentionner qu'en théorie, non seulement le BIOS de la carte mère peut être une telle cible, mais également tout périphérique dont le micrologiciel peut être attaqué, comme un routeur.
Mebromi crée les fichiers suivants :
- % Temp% \ cbrom
- C:\bios.bin
- C: \ mon.sys
- C:\calc.exe
source: antivirus.blog.hu
