Firma 360, chiński producent oprogramowania antywirusowego, poinformowała o wykryciu ciekawego trojana, który stosuje strategię znaną sprzed 10 lat.
Trojan o nazwie Mebroni, odkryty przez chińska firmę, zagnieżdża się w BIOS-ie komputera. Najpierw szkodnik sprawdza, czy między systemem operacyjnym, a sprzętem, pośredniczy system wejścia-wyjścia firmy Award. Jeśli wynik testu jest pozytywny, uruchomione zostaje narzędzie CBROM, za pomocą którego do ROM-u komputera dograne jest szkodliwe rozszerzenie. Przy ponownym uruchomieniu komputera „doczepiony” do BIOS-u robak dopisuje własny kod do głównego rekordu startowego (MBR) dysku twardego, aby stamtąd zainfekować procesy winlogon.exe lub winnt.exe podczas uruchamiania systemów Windows XP, 2000 i 2003. Kolejnym krokiem jest ściągnięcie z Internetu rootkita, który zapobiegnie wyczyszczeniu rekordu startowego przez program antywirusowy.
Trojan jest niebezpieczny z wielu powodów. Po pierwsze, nie jest w stanie go wykryć zwykły skaner antywirusowy, gdyż to oprogramowanie nie ma dostępu do BIOS-u. Poza tym po wyczyszczeniu dysku, a nawet po jego wymianie, procedura infekcji jest powtarzana z chwilą ponownego uruchomienia komputera. Jeśli komputer nie korzysta z BIOS-u firmy Award, trojan infekuje tylko MBR.
Idea atakowania BIOS-u ma przynajmniej 10 lat i jest niezmiennie skuteczna. Już w 1999 roku szalał wirus CIH, który manipulował procedurami zapisanymi w ROM-ie komputera, aby zniszczyć BIOS i uniemożliwić włączenie komputera. Swoją drugą młodość wirusy tego typu miały w 2006 roku. Na szczęście tego typu zagrożenia nie mają dużych szans na rozprzestrzenianie się, gdyż uniemożliwi im to mnogość modeli płyt głównych i typów BIOS-u, a co za tym idzie, wiele metod nadpisywania ROM-u. Ponadto wielu producentów rozważa odejście od BIOS-u na rzecz Unified Extensible Firmware Interface (UEFI).