Китайский производитель антивирусов 360 обнаружил вирус, который внедряется в BIOS, где он и остается спрятанным от традиционных программ поиска вирусов. Троян под названием Mebromi сперва проверяет, используется ли на компьютере жертвы Award BIOS. Если да, тогда он применяет инструмент, запускаемый из командной строки,CBROM, чтобы внедрить свои процедуры в BIOS. При следующей загрузке системы BIOS уже добавляет дополнительный код к главной загрузочной записи (MBR) жесткого диска, чтобы инфицировать winlogon.exe и winnt.exe процессы на Windows XP и 2000/2003 перед загрузкой системы.

При следующем запуске Windows вредоносный код скачивает руткит для предотвращения очистки MBR жесткого диска антивирусным сканером. Но даже если жесткий диск будет очищен, вся процедура инфицирования повторится при следующей загрузке BIOS. Mebromi может также уцелеть при смене жесткого диска. Если компьютер не использует Award BIOS, вирус просто инфицирует MBR.

Идея внедрения в ... Читать дальше »