Mebromi
Jump to navigation
Jump to search
(Malware) - Link to the old Wiki page : [1] / / Google search: [2]
Mebromi | |
---|---|
Alias | |
Target | Microsoft Windows |
Origin | |
Distribution vector | |
Botnet | Mebroot |
UserAgent | |
CCProtocol | HTTP |
Activity | / |
Status | |
Language | |
Programming language | |
Group | |
Family | |
Relations | Variants:
Sibling of: |
Introduction
Mebromi est un logiciel malveillant infectant les BIOS Award (avant le chargement du MBR donc). La charge utile consiste en un pilote noyau bios.sys qui vise à vérifier si le BIOS de l'ordinateur est un Award, et si il est déja infecté. Dans le cas ou il ne l'est pas, il va faire en effectuer une sauvegarde (bios.bin) puis déposer hook.rom en tant que module ISA. Si le BIOS n'est pas de la bonne marque, une infection plus classique du MBR est effectuée[1]. Le poste infecté tente de télécharger une autre charge auprès d'un serveur via HTTP[2].
Features