Si on parle depuis des années des virus (et autres logiciels malveillants) capable de s’attaquer aux BIOS, rien de vraiment efficace n’existait en dehors de CIH/Chernobyl dans les années ’90 (et heureusement). Mais ce n’est plus le cas : un nouveau malware, Mebromi, utilise en effet le BIOS de l’ordinateur comme vecteur de propagation.
Contrairement à CIH qui effaçait totalement le BIOS de l’ordinateur, Mebromi le modifie pour pouvoir rester dans l’ordinateur même si le disque dur est formaté ou remplacé. Le fonctionnement est assez simple : le programme va sauvegarder le BIOS, modifier quelques routines internes et ensuite flasher le nouveau BIOS, sans que ce soit visible pour l’utilisateur. Une fois que c’est fait, il va infecter automatiquement le MBR (qui est la carte des partitions sur le disque dur).
Quelques limites
Heureusement, Mebromi a quelques limites. Premièrement, il ne s’attaque qu’aux BIOS de type Award, donc les AMI, Phoenix et autres UEFI ne sont pas vulnérables. Ensuite, il ne fonctionne que sur les systèmes Windows 32 bits et uniquement sur des comptes de type administrateur. Enfin, comme le programme infecte le MBR, les disques durs qui utilisent un autre schéma de partition ne sont pas vulnérables.
Reste un problème : la désinfection. Le classique formatage complet n’a aucun effet et il est donc nécessaire de flasher le BIOS avec une version « propre », en espérant qu’elle existe…