В сентябре 2011 года одна из китайских антивирусных компаний обнаружила Mebromi (MyBios) — первый троян, который прописывается в BIOS (Award BIOS). При следующей загрузке BIOS уже добавляет дополнительный код к главной загрузочной записи (MBR) жёсткого диска, чтобы инфицировать winlogon.exe и winnt.exe процессы на Windows XP и 2000/2003 перед загрузкой системы, затем вредоносный код скачивает руткит для предотвращения очистки MBR антивирусным сканером. Но даже если жёсткий диск будет очищен, вся процедура инфицирования повторится при следующей загрузке BIOS. Троян способен уцелеть даже при смене жёсткого диска.

Сейчас появилась новая программа Niwa!mem, которая действует примерно таким же способом, переписывая MBR и помещая в системе библиотеку DLL, которая содержит cbrom.exe и поражает Award BIOS.

По мнению специалистов, новый троян Niwa!mem может быть написан теми же авторами, что и Mebromi, поскольку многие строки кода выглядят практически идентично.

С выходом второго экземпляра можно ожидать, что запись вредоносного кода в BIOS станет более обычным делом для вредоносных программ.



1 комментарий

  1. 03.08.2014 at 19:35

    Разве можно внедрить свой код в BIOS на программном уровне? В случае с CMOS, можно было бы обойтись извлечением батарейки. Прошу прощения за эдакий некропостинг. Только услышал об этой штуке)

Оставить мнение