Китайский производитель антивирусов 360 обнаружил вирус, который внедряется в BIOS, где он и остается спрятанным от традиционных программ поиска вирусов. Троян под названием Mebromi сперва проверяет, используется ли на компьютере жертвы Award BIOS. Если да, тогда он применяет инструмент, запускаемый из командной строки, CBROM, чтобы внедрить свои процедуры в BIOS. При следующей загрузке системы BIOS уже добавляет дополнительный код к главной загрузочной записи (MBR) жесткого диска, чтобы инфицировать winlogon.exe и winnt.exe процессы на Windows XP и 2000/2003 перед загрузкой системы.
При следующем запуске Windows вредоносный код скачивает руткит для предотвращения очистки MBR жесткого диска антивирусным сканером. Но даже если жесткий диск будет очищен, вся процедура инфицирования повторится при следующей загрузке BIOS. Mebromi может также уцелеть при смене жесткого диска. Если компьютер не использует Award BIOS, вирус просто инфицирует MBR.
Идея внедрения вируса в BIOS не является новой. В 1999 год вирус CIH пытался манипулировать BIOS своей жертвы, но это имело лишь разрушительные последствия: BIOS перезаписывался и компьютер больше не загружался. В 2009 году исследователи безопасности представили сценарий, в котором руткит закреплялся в BIOS. Но до сих пор ни один из вирусов с внедрением в BIOS не получил широкого распространения, возможно просто из-за слишком большого количества различных материнских плат – и, следовательно, из-за очень большого количества различных способов перепрограммирования BIOS.
