Обнаружены трояны модификации BIOS

Вредоносная программа устанавливает измененный код в BIOS системной платы и добавляет инструкции, которые все еще выполняются в процессе загрузки компьютера. Руткит Trojan.Mebromi атакует Award BIOS, производимую Phoenix Technologies, и от него очень сложно избавиться.

Mebromi работает путем изменения BIOS на ранней стадии загрузки. Перезаписывая основную загрузочную запись (MBR), он может заразить до загрузки операционной системы, что может поставить под угрозу Windows XP, 2003, Vista и Windows7. В каждом случае зараженный BIOS загружает файл с именем hook.com, который проверяет, заражена ли MBR, и при необходимости повторно заражает ее. Пока что из Китая зарегистрированы только такие инфекции. К счастью, большинство имеющихся в продаже антивирусных препаратов уже способны обнаружить. 

  Действия Меброма.
[+]

В любом случае урок по разрядке дается разработчикам антивирусов, поскольку сложность этого, очевидно, усугубляется тем фактом, что непросто написать универсальную утилиту проверки / выпуска / восстановления BIOS, которая настолько защищена от бомбардировок, что она не вызывает восстановления и гарантированно работает на каждой машине. Однако стоит упомянуть, что теоретически такой целью может быть не только BIOS материнской платы, но и любое устройство, прошивка которого может быть атакована, например маршрутизатор.

Меброми создает следующие файлы:

•  % Temp% \ cbrom
• C: \ bios.bin
• C: \ my.sys
• C: \ calc.exe

источник: антивирус.блог.ху