El agente malicioso, denominado Mebromi, primero verifica si la computadora de la víctima utiliza BIOS Award. Si es así, utiliza la herramienta en línea de comandos CBROM para conectar su extensión en el BIOS. La próxima vez que se inicia el sistema, la extensión del BIOS añade código adicional para grabar en el disco duro maestro de arranque (MBR) con el fin de infectar a los procesoswinlogon.exe / winnt.exe en Windows XP, 2000 y 2003 antes de que inicie.

Cuando Windows se inicia nuevamente, el código malicioso descarga un rootkit para evitar que la unidad MBR sea limpiada por un motor antivirus. Pero incluso, si la unidad se limpia, la rutina completa de infección se repite cuando inicie de nuevo el módulo del BIOS. Mebromi también pueden sobrevivir a un cambio de disco duro. Si el equipo no hace uso de BIOS Award, el código malicioso simplemente infecta el MBR.

La idea de conectar una rutina maliciosa al BIOS no es nueva y ofrece a los atacantes la ventaja de mantenerse ocultos del escaneo de virus. En 1999, el virus CIH intentó manipular la BIOS de su víctima, pero sólo tuvo efectos destructivos: la BIOS se sobrescribía y el equipo no arrancaba. En 2009, investigadores de seguridad presentaron un escenario en el que se encontraba anclado un rootkit en la BIOS. Pero hasta ahora, ningún contaminante BIOS había logrado generalizarse, posiblemente debido a que simplemente hay tantas y diferentes tarjetas madres, y por lo tanto, hay muchas diferentes maneras de actualizar la BIOS.