Vírus menom Mebromi sa "zaryje" hlboko do systému, nepomôže antivírus ani výmena pevného disku.
Vírusy napádajúce základný softvér počítača, tzv. BIOS, síce nie sú ničím novým, no aj tak predstavujú stále veľkú hrozbu. Jeden nový z tejto skupiny objavila spoločnosť Symantec, ktorá opisuje jeho chovanie aj na svojom blog-u.
Vírus s názvom Trojan.Mebromi napáda BIOS hostiteľského počítača do ktorého "integruje" škodlivý kód, vďaka čomu má k systému prístup ešte pred samotným zavedením MBR (Master Boot Record).
Vírus nahrá svoj ovládač do adresára %system%\drivers\bios.sys a ukončí službu beep.sys, pričom súbor nahradí. Po tomto kroku reštartuje službu čí spustí svoj ovládač. Tento následne zisťuje, či základná doska má BIOS typu Award a v prípade pozitívneho nálezu uloží súbor s BIOS-om a zisťuje, či už nie je infikovaný. Ak nie je, spustí svoj proces ktorým BIOS modifikuje a napáli do čipu základnej dosky.
Takto pozmenený BIOS pri spúšťaní modifikuje aj samotný záznam MBR na pevnom disku, pričom cieľom sú spustiteľné súbory pre prihlasovanie používateľov (winlogon.exe alebo winnt.exe). Prostredníctvom nich následne sťahujue ďalšie súbory z internetu.
Navyše, vírus ochráni MBR pred jeho ďalšou modifikáciou. Keďže škodlivý kód sídli v BIOS-e, nie je možné ho odstrániť jednoduchým premezaním pevného disku či jeho výmenou, nemožný je taktiež zásah antivírusu, ktorý pracuje až po spustení operačného systému. Vírus sa snaží o pozmenenie MBR záznamu aj v prípade iného typu BIOS-u ako je Award.
Akým spôsobom sa vírus do počítača dostane Symantec neopisuje. Hrozba však už bola identifikovaná a odporúča sa všetkým používateľom aktualizovať svoje antivírusy.
makroelektro
passco
Frosty
beton
lepermessiah
snap
passco