Difference between revisions of "Mebromi"
Jump to navigation
Jump to search
m (1 revision imported) |
|||
Line 1: | Line 1: | ||
{{Malware | {{Malware | ||
| Introduction=Mebromi est un logiciel malveillant infectant les BIOS Award (avant le chargement du MBR donc). La charge utile consiste en un pilote noyau bios.sys qui vise à vérifier si le BIOS de l'ordinateur est un Award, et si il est déja infecté. Dans le cas ou il ne l'est pas, il va faire en effectuer une sauvegarde (bios.bin) puis déposer hook.rom en tant que module ISA. Si le BIOS n'est pas de la bonne marque, une infection plus classique du MBR est effectuée<ref>http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/</ref>. Le poste infecté tente de télécharger une autre charge auprès d'un serveur via HTTP<ref>http://www.symantec.com/connect/blogs/bios-threat-showing-again</ref>. | |Introduction=Mebromi est un logiciel malveillant infectant les BIOS Award (avant le chargement du MBR donc). La charge utile consiste en un pilote noyau bios.sys qui vise à vérifier si le BIOS de l'ordinateur est un Award, et si il est déja infecté. Dans le cas ou il ne l'est pas, il va faire en effectuer une sauvegarde (bios.bin) puis déposer hook.rom en tant que module ISA. Si le BIOS n'est pas de la bonne marque, une infection plus classique du MBR est effectuée<ref>http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/</ref>. Le poste infecté tente de télécharger une autre charge auprès d'un serveur via HTTP<ref>http://www.symantec.com/connect/blogs/bios-threat-showing-again</ref>. | ||
| Fonctionnalités=* Infection du [[feature::BIOS installation|BIOS]] | |Target=Microsoft Windows, | ||
|CCProtocol=HTTP, | |||
|Feature=Rootkit, BIOS installation, | |||
|Status=Unknown | |||
|Fonctionnalités=* Infection du [[feature::BIOS installation|BIOS]] | |||
* Infection du [[feature::MBR installation|MBR]] | * Infection du [[feature::MBR installation|MBR]] | ||
* Recherche d'[[feature::Uninstall|antivirus installés]] (essentiellement chinois) | * Recherche d'[[feature::Uninstall|antivirus installés]] (essentiellement chinois) | ||
| Commercialisation= | |Commercialisation= | ||
| Registre= | |Registre= | ||
|Victime1= | |||
|Victime2= | |||
|Victime3= | |||
|Victime4= | |||
| Victime1= | |Botnet1=Mebromi | ||
| Victime2= | |Botnet2= | ||
| Victime3= | |Botnet3= | ||
| Victime4= | |Virustotal1= | ||
| Botnet1=Mebromi | |Virustotal2= | ||
| Botnet2= | |Virustotal3= | ||
| Botnet3 | |Malwr1= | ||
|Malwr2= | |||
| Virustotal1= | |Malwr3= | ||
| Virustotal2= | |||
| Virustotal3= | |||
| Malwr1= | |||
| Malwr2= | |||
| Malwr3= | |||
}} | }} |
Revision as of 01:40, 8 August 2015
(Malware) - Link to the old Wiki page : [1] / / Google search: [2]
Mebromi | |
---|---|
Alias | |
Target | Microsoft Windows |
Origin | |
Distribution vector | |
Botnet | |
UserAgent | |
CCProtocol | HTTP |
Activity | / |
Status | Unknown |
Language | |
Programming language | |
Group | |
Family | |
Relations | Variants:
Sibling of: |
Introduction
Mebromi est un logiciel malveillant infectant les BIOS Award (avant le chargement du MBR donc). La charge utile consiste en un pilote noyau bios.sys qui vise à vérifier si le BIOS de l'ordinateur est un Award, et si il est déja infecté. Dans le cas ou il ne l'est pas, il va faire en effectuer une sauvegarde (bios.bin) puis déposer hook.rom en tant que module ISA. Si le BIOS n'est pas de la bonne marque, une infection plus classique du MBR est effectuée[1]. Le poste infecté tente de télécharger une autre charge auprès d'un serveur via HTTP[2].
Features