Уже несколько антивирусных компаний сообщили об идентификации первого в истории вируса, способного модифицировать содержимое загрузочной микросхемы BIOS, используемой в большинстве современных компьютеров. Этот вирус, получивший название Trojan.Mebromi по классификации Symantec или Trojan.Bioskit.1по классификации «Доктор Веб», способен менять не только содержимое BIOS, но и загрузочный сектор жесткого диска, что сильно затрудняет борьбу с этим вирусом. Несмотря на пугающие потенциальные возможности, сравнимые с нашумевшим в 90-е годы прошлого века вирусом CIH/Chernobyl, обнаруженная в «диком виде» версия имеет все черты экспериментальной разработки и на данный момент не считается очень опасной.
Модификация BIOS в вирусе выполняется с целью защитить модифицированные загрузочные секторы жесткого диска. Как выяснилось, на данный момент вирус Mebromiспособен заражать только чипы BIOS маркиAward, причем в состав вируса входят фирменные утилиты для программной перепрошивки BIOS, созданные компанией Phoenix, которая приобрела фирму Award еще в конце 1990-х годов. Если в ПК используется BIOS других марок, вирус записывает вредоносный код только в загрузочный сектор, защищая этот код за счет заражения таких ключевых системных процессов, как winlogon.exe и winnt.exe.За счет такого глубокого внедрения в систему вирус Mebromi является очень непростым противником для современных антивирусных решений. По мнению ряда экспертов, Mebromi бросает серьезный вызов всем разработчиков антивирусов,поскольку столь экзотический способ распространения и заражения сильно затрудняет создание средств, способных полностью очистить компьютер от следов вируса. Так, загрузочный MBR-сектор можно восстановить программными средствами без загрузки операционной системы – это уже отработанная технология. С другой стороны, очистка BIOS– это уже гораздо более серьезная задача, в которой обязательно должны участвовать производители материнских плат. Дело в том, что малейшая ошибка в процедуре очистки BIOS может привести к полному выходу системы из строя – система просто перестанет включаться и загружаться, а материнскую плату во многих случаях придется просто выкинуть. Появление вируса Mebromi считается третьим случаем появления вируса, способного модифицировать BIOS,однако считается первым документированным случаем, когда подобный вирус обнаружен в «диком виде». Тем не менее, стоит обратить внимание, что упомянутый вирус CIH/Chernobyl, работавший в операционных системах Windows 95/98, тоже модифицировал BIOS, но делал это разрушительным образом– при срабатывании «логической бомбы» уничтожалась информация на жестких дисках и содержимое перезаписываемой части BIOS. Вирус Mebromi в этом отношении выглядит «гуманнее» - он лишь использует модификацию BIOS, чтобы скрыть части своего кода в MBR-секторе от антивирусного сканирования. Также стоит упомянуть, что в 2007 году был опубликован экспериментальный вариант вируса IceLord, который теоретически мог менять содержимое BIOS, но никогда не встречался в реальных атаках, то есть в «диком виде». Примечательно, что первые случаи обнаружения вируса Mebromi зафиксированы близко к первоисточнику CIH/Chernobyl – в Китае (вирус CIH/Chernobyl был создан тайваньским студентом и нанес наибольший ущерб именно Китаю, за что его автор принес публичные извинения). Первыми документировали появление вируса Mebromi специалисты из китайской антивирусной компании Qihoo 360 – из всех случаев заражения большинство зафиксировано именно в КНР.
По материалам сайтов The Register и блога компании Symantec.