Beberapa hari lepas, satu security firm dari China iaitu 360 Security Guard telah mengeluarkan satu post berkaitan satu malware terbaru yang mengganas yang dikenali sebagai Mebromi. Mebromi yang bersarang di dalam BIOS membuatkan ianya sukar dikesan oleh virus scanner dan perisian-perisian antivirus lain.
Mebromi pada mulanya akan mengenalpasti samada BIOS yang digunakan ialah Award BIOS atau tidak. Jika system tersebut menggunakan Award BIOS, ia akan menggunakan CBROM command-line tools untuk hook up extension-nya ke dalam BIOS tersebut. Apabila system tersebut boot atau start, extension BIOS tersebut akan menambah code ke dalam master boot record(MBR) pada hard drive untuk menjangkiti proses winlogon.exe atau winnt.exe sebelum Windows start. Jika komputer tersebut tidak menggunakan Award BIOS, Mebromi akan terus menjangkiti MBR.
Apabila Windows start kemudiannya, kod-kod tadi akan memuat turun sejenis rootkit yang menghalang perisian antivirus daripada membersihkan MBR hard drive komputer tersebut. Walau bagaimanapun, sekiranya MBR tersebut berjaya dibersihkan, jangkitan akan berulang sebaik sahaja modul BIOS dimuatkan apabila komputer anda restart. Mebromi juga kekal walaupun hard drive anda telah ditukar atau pun di format.
Info Tambahan:
http://www.symantec.com/security_response/writeup.jsp?docid=2011-090609-4557-99
http://blogs.norman.com/2011/malware-detection-team/mebromi-a-bios-flashing-trojan
http://bbs.360.cn/4005462/251096134.html
http://news.hitb.org/content/return-bios-trojans
Mebromi pada mulanya akan mengenalpasti samada BIOS yang digunakan ialah Award BIOS atau tidak. Jika system tersebut menggunakan Award BIOS, ia akan menggunakan CBROM command-line tools untuk hook up extension-nya ke dalam BIOS tersebut. Apabila system tersebut boot atau start, extension BIOS tersebut akan menambah code ke dalam master boot record(MBR) pada hard drive untuk menjangkiti proses winlogon.exe atau winnt.exe sebelum Windows start. Jika komputer tersebut tidak menggunakan Award BIOS, Mebromi akan terus menjangkiti MBR.
Apabila Windows start kemudiannya, kod-kod tadi akan memuat turun sejenis rootkit yang menghalang perisian antivirus daripada membersihkan MBR hard drive komputer tersebut. Walau bagaimanapun, sekiranya MBR tersebut berjaya dibersihkan, jangkitan akan berulang sebaik sahaja modul BIOS dimuatkan apabila komputer anda restart. Mebromi juga kekal walaupun hard drive anda telah ditukar atau pun di format.
Info Tambahan:
http://www.symantec.com/security_response/writeup.jsp?docid=2011-090609-4557-99
http://blogs.norman.com/2011/malware-detection-team/mebromi-a-bios-flashing-trojan
http://bbs.360.cn/4005462/251096134.html
http://news.hitb.org/content/return-bios-trojans
COMMENTS