发现BIOS修改木马

恶意软件会在系统板 BIOS 中安装修改后的代码，并添加在计算机启动序列过程中仍会执行的指令。 名为 Trojan.Mebromi 的 rootkit 攻击 Phoenix Technologies 制造的 Award BIOS，并且很难摆脱。

Mebromi 通过在早期启动阶段修改 BIOS 来运行。 通过覆盖主引导记录 (MBR)，它可以在操作系统加载之前感染，这会使 Windows XP、2003、Vista 和 Windows7 处于危险之中。 在每种情况下，受感染的 BIOS 都会加载一个名为 hook.com 的文件，该文件会检查 MBR 是否被感染，并在必要时重新感染它。 迄今为止，中国仅报告了此类感染。 幸运的是，大多数市售抗病毒药物已经能够 检测. 

  Mebrom的行动。
[]

在任何情况下，释放的教训是给防病毒开发人员的，因为编写一个通用的 BIOS 检查/释放/恢复实用程序并不容易，它是如此的防轰击以致于它的难度显然更加复杂。不会导致恢复，并保证在每台机器上都能正常工作。 但是，绝对值得一提的是，理论上，不仅主板BIOS可以成为这样的目标，任何固件可以被攻击的设备，例如路由器，都可以成为攻击目标。

Mebromi 创建以下文件：

•  % 温度% \ cbrom
• C:\BIOS.bin
• C:\我的.sys
• C:\计算.exe

来源： 杀毒博客.hu