Difference between revisions of "Mebromi"

Latest revision as of 15:44, 8 August 2015

(Malware) - Link to the old Wiki page : [1] / / Google search: [2]

Mebromi
Alias
Target	Microsoft Windows
Origin
Distribution vector
Botnet	Mebroot
UserAgent
CCProtocol	HTTP
Activity	/
Status
Language
Programming language
Group
Family
Relations	Variants: Sibling of: Parent of: Distribution of: Campaigns:

Introduction

Mebromi est un logiciel malveillant infectant les BIOS Award (avant le chargement du MBR donc). La charge utile consiste en un pilote noyau bios.sys qui vise à vérifier si le BIOS de l'ordinateur est un Award, et si il est déja infecté. Dans le cas ou il ne l'est pas, il va faire en effectuer une sauvegarde (bios.bin) puis déposer hook.rom en tant que module ISA. Si le BIOS n'est pas de la bonne marque, une infection plus classique du MBR est effectuée^[1]. Le poste infecté tente de télécharger une autre charge auprès d'un serveur via HTTP^[2].

Features

Rootkit

BIOS installation

Associated images

Checksums / AV databases

Publications

[1] ttp://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/

[2] ttp://www.symantec.com/connect/blogs/bios-threat-showing-again

[1]

[2]

@@ Line 1: / Line 1: @@
 {{Malware
-| Introduction=Mebromi est un logiciel malveillant infectant les BIOS Award (avant le chargement du MBR donc). La charge utile consiste en un pilote noyau bios.sys qui vise à vérifier si le BIOS de l'ordinateur est un Award, et si il est déja infecté. Dans le cas ou il ne l'est pas, il va faire en effectuer une sauvegarde (bios.bin) puis déposer hook.rom en tant que module ISA. Si le BIOS n'est pas de la bonne marque, une infection plus classique du MBR est effectuée<ref>http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/</ref>. Le poste infecté tente de télécharger une autre charge auprès d'un serveur via HTTP<ref>http://www.symantec.com/connect/blogs/bios-threat-showing-again</ref>.
+|Introduction=Mebromi est un logiciel malveillant infectant les BIOS Award (avant le chargement du MBR donc). La charge utile consiste en un pilote noyau bios.sys qui vise à vérifier si le BIOS de l'ordinateur est un Award, et si il est déja infecté. Dans le cas ou il ne l'est pas, il va faire en effectuer une sauvegarde (bios.bin) puis déposer hook.rom en tant que module ISA. Si le BIOS n'est pas de la bonne marque, une infection plus classique du MBR est effectuée<ref>http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/</ref>. Le poste infecté tente de télécharger une autre charge auprès d'un serveur via HTTP<ref>http://www.symantec.com/connect/blogs/bios-threat-showing-again</ref>.
-| Fonctionnalités=* Infection du [[feature::BIOS installation|BIOS]]
+|Botnet=Mebroot,
+|Target=Microsoft Windows,
+|CCProtocol=HTTP,
+|Feature=Rootkit, BIOS installation,
+|Status=
+|Fonctionnalités=* Infection du [[feature::BIOS installation|BIOS]]
 * Infection du [[feature::MBR installation|MBR]]
 * Recherche d'[[feature::Uninstall|antivirus installés]] (essentiellement chinois)
-| Commercialisation=
+|Commercialisation=
-| Registre=
+|Registre=
-| UserAgent=Unknown
+|Victime1=
-| CCProtocol=HTTP, ,
+|Victime2=
- | Target=Microsoft Windows, , ,
+|Victime3=
-| Status=Unknown
+|Victime4=
-| Victime1=
+|Botnet1=Mebromi
-| Victime2=
+|Botnet2=
-| Victime3=
+|Botnet3=
-| Victime4=
+|Virustotal1=
-| Botnet1=Mebromi
+|Virustotal2=
-| Botnet2=
+|Virustotal3=
-| Botnet3=
+|Malwr1=
-| Alias=
+|Malwr2=
-| Virustotal1=
+|Malwr3=
-| Virustotal2=
-| Virustotal3=
-| Malwr1=
-| Malwr2=
-| Malwr3=
 }}