Troyanos de modificación de BIOS encontrados

El malware instala código modificado en el BIOS de la placa del sistema y agrega instrucciones que aún se ejecutan durante el proceso de secuencia de inicio de la computadora. El rootkit, llamado Trojan.Mebromi, ataca los BIOS Award fabricados por Phoenix Technologies y es muy difícil de eliminar.

Mebromi funciona modificando el BIOS en la fase de arranque inicial. Al sobrescribir el Master Boot Record (MBR), puede infectar antes de que se cargue el sistema operativo, lo que puede poner en riesgo Windows XP, 2003, Vista y Windows7. En cada caso, el BIOS infectado carga un archivo llamado hook.com, que verifica si el MBR está infectado y lo vuelve a infectar si es necesario. Hasta ahora, solo se han reportado infecciones de este tipo en China. Afortunadamente, la mayoría de los antivirales disponibles comercialmente ya son capaces detectar. 

  Acciones de Mebrom.
[+]

En cualquier caso, la lección sobre la descarga se da a los desarrolladores de antivirus, ya que la dificultad de esto obviamente se ve agravada por el hecho de que no es fácil escribir una utilidad universal de verificación / liberación / recuperación de BIOS que sea tan a prueba de bombardeos que no causa recuperación y se garantiza que funciona en todas las máquinas. Sin embargo, definitivamente vale la pena mencionar que, en teoría, no solo el BIOS de la placa base puede ser un objetivo, sino también cualquier dispositivo cuyo firmware pueda ser atacado, como un enrutador.

Mebromi crea los siguientes archivos:

•  % Temp% \ cbrom
• C: \ bios.bin
• C: \ my.sys
• C: \ calc.exe

fuente: antivirus.blog.hu