Seit 1999 hat kein Virus sich nennenswert erfolgreich in das BIOS eingenistet. Nun hat die chinesische Antivirusfirma Qihoo 360 mit einer Meldung aufhorchen lassen, dass ein Trojaner sich in ein Award-BIOS schreibt.

Mebromi ist ein Schädling mit Rootkitfunktionalität, der sich in die Datei c:\my.sys kopiert. Ist ein Award-BIOS vorhanden, wird eine Kopie des BIOS in die Datei c:\bios.bin abgelegt. Ist das BIOS noch nicht verseucht, wird das BIOS-Flash-Tool cbrom.exe und hook.rom aus dem Internet in das %tmp%-Verzeichnis geladen. Daraufhin wird das BIOS neu geschrieben und der Trojaner hat sich im BIOS eingenistet. Damit überlebt der Virus auch einen Festplattentausch.

Das ist eine schlechte Nachricht, denn die herkömmlichen Anti-Viren-Techniken können solch einen Virus nicht entdecken.

Ist keine Award-BIOS vorhanden, wird der Master Boot Record (MBR) der Festplatte verseucht. Damit wird er bei jedem Start neu geladen.

Artikel von heise.de, 12.09.2011: Die Rückkehr des BIOS-Trojaners
Graphisch gute Zusammenfassung von Symantec über MBR-Schädlinge: Are MBR Infections Back in Fashion?
Artikel von theregister.co.uk, 14.09.2011: Malware burrows deep into computer BIOS to escape AV