A kártevő módosított kódot telepít az alaplapi BIOS-ba, és olyan utasításokat fűz hozzá, amelyek még a számítógép Boot Up Sequence folyamat alatt hajtódnak végre. A Trojan.Mebrominak nevezett rootkit a Phoenix Technologies által gyártott Award BIOS-okat támadja, és igencsak nehezen lehet tőle megszabadulni.
A BIOS-t támadó kártevők általában nagyon ritkák. Idősebbek és katonaviseltek még emlékezhetnek a múltszázadi CIH vírusra, az első jelentések róla 1998 elejéről származnak, az idők során pedig jó néhány változata született. Különlegessége, hogy a Pentium processzorral rendelkező számítógépekben olyan hibát volt képes okozni, amely a hardver javítása nélkül nem orvosolható: a gép elindulásához szükséges BIOS PROM-ot tette tönkre felülírással. A legismertebb és legelterjedtebb verzió minden év április 26-án aktivizálódott. Ez a változat azonban csak 1998 közepén terjedt el szélesebb körben, így az első valódi aktivizálódási dátuma 1999. április 26-a lett. Még itthon is adtak ki számítástechnikai laphoz olyan havi CD-mellékletet, amely véletlenül ezzel a vírussal volt fertőzött. A kártevő a nevét a tajvani illetőségű készítőjéről, a kezdőbetűk alapján Chen Ing-Hauról kapta.
Ez a mostani Mebromi azonban ennél fejlettebb, és a korai rendszerindítási szakaszban a BIOS módosításával operál. A Master Boot Rekord (MBR) átírásával még az operációs rendszer betöltése előtt képes fertőzni, ezzel pedig a Windows XP, 2003, Vista és Windows7 rendszerek kerülhetnek veszélybe. A fertőzött BIOS minden esetben betölt egy hook.com nevű fájlt, amely azt ellenőrzi, vajon fertőzött-e az MBR, és szükség esetén újrafertőzi azt.
A mellékelt képen az is jól látszik, hogy a kereskedelmi forgalomban lévő antivírusok többsége szerencsére már képes detektálni, ám érdekes módon éppen a Microsoft programja nem észleli.
Bár a hírek szerint Mebromi-t ugyan valós környezetben találták (In The Wild), de egyelőre csak Kínából jelentettek ilyen fertőzéseket. Ám a mentesítéssel kapcsolatos lecke mindenesetre fel van adva az antivírus fejlesztőknek, ugyanis ennek nehézségét nyilván fokozza, hogy nem egyszerű olyan univerzális BIOS ellenőrző/mentesítő/helyreállító utilityt írni, amely annyira bombabiztos, hogy a helyreállítással nem okoz bajt, és garantáltan minden egyes gépen működik. Azt viszont mindenképpen érdemes megemlíteni, hogy elméletileg nemcsak az alaplapi BIOS lehet ilyen célpont, hanem minden olyan eszköz, amelynek a firmware-jét támadni lehet, ez lehet például akár egy router is.
cworm 2011.09.14. 10:53:12
"There is a more up-to-date report (36/43) for this file." És ott már az MS is ismeri.:)
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.09.14. 11:05:13
Köszi Cworm :-)
Mihics Zoltán (Med1on) 2011.09.15. 00:32:48
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2011.09.15. 08:26:17
Üdv a blogon. Természetesen a forrás feltüntetéssel mehet bátran.
Mihics Zoltán (Med1on) 2011.09.15. 16:16:28