Mebromi

From Botnets.fr
Jump to: navigation, search

(Malware) - Link to the old Wiki page : [1] / / Google search: [2]

Mebromi
Alias
Target Microsoft Windows
Origin
Distribution vector
Botnet Mebroot
UserAgent
CCProtocol HTTP
Activity /
Status
Language
Programming language
Group
Family
Relations Variants:

Sibling of:
Parent of:
Distribution of:
Campaigns:

Introduction

Mebromi est un logiciel malveillant infectant les BIOS Award (avant le chargement du MBR donc). La charge utile consiste en un pilote noyau bios.sys qui vise à vérifier si le BIOS de l'ordinateur est un Award, et si il est déja infecté. Dans le cas ou il ne l'est pas, il va faire en effectuer une sauvegarde (bios.bin) puis déposer hook.rom en tant que module ISA. Si le BIOS n'est pas de la bonne marque, une infection plus classique du MBR est effectuée[1]. Le poste infecté tente de télécharger une autre charge auprès d'un serveur via HTTP[2].

Features


Associated images

Checksums / AV databases

Publications

  1. http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/
  2. http://www.symantec.com/connect/blogs/bios-threat-showing-again