Программа под названием Mebromi содержит весь набор: BIOS-руткит, нацеленный на перепрошивку Award BIOS, буткит для модификации MBR, руткит на уровне ядра Windows, модификатор файлов PE и троян.
Вирус чётко нацелен на китайские системы и при работе проверяет присутствие антивирусных программ Rising Antivirus и Jiangmin KV Antivirus. На данный момент Mebromi не предназначен для заражения 64-битных систем и не способен работать на учётных записях пользователей с ограниченными привилегиями.
Чтобы получить возможность модифицировать BIOS, Mebromi использует два способа: либо запускает библиотеку flash.dll, которая загружает драйвер bios.sys, либо перехватывает beep.sys и переписывает его собственным кодом beep.sys, запускает сервис, а потом восстанавливает оригинальный код beep.sys.
Получив контроль над драйвером bios.sys, программа проверяет, что в качестве BIOS используется Award BIOS (присутствие строки $@AWDFLA). В этом случае осуществляется перепрошивка.
Если BIOS ROM соответствует искомому, руткит сохраняет копию BIOS в файле C:\bios.bin и переходит к следующему этапу. Дроппер извлекает файлы cbrom.exe и hook.rom. Первый — это стандартная программа Phoenix Technologies для модификации бинарников Award/Phoenix BIOS ROM. Hook.rom — руткит, который добавляется к бинарнику. Дроппер запускает программу cbrom.exe с параметром /isa. Но до реального инфицирования ISA ROM, дроппер проверяет код BIOS ROM на присутствие маркера “hook rom”, чтобы не производить вторичное заражение.
Дальше осуществляется заражение всех 14-ти секторов MBR и внедрение вредоносного кода в файл winlogon.exe или wininit.exe перед загрузкой Windows. Здесь тоже осуществляется проверка маркера инфицирования.
