Издание
- Решаване на проблема с откритията на ESET UEFI (например EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
- Как да защитите компютъра си от зловреден софтуер за UEFI
- ESET открива UEFI зловреден софтуер или приложения
Подробности
Щракнете, за да разширите
Фърмуерът на UEFI се зарежда в паметта в началото на процеса на зареждане. Той се съхранява в чип с флаш памет, запоен на дънната платка. Ако нападателите заразят фърмуера, те могат да разгърнат зловреден софтуер, който оцелява при преинсталиране на системата, рестартиране и дори инсталиране на нов твърд диск. Зловредният софтуер може да остане незабелязан и от антивирусните решения, тъй като повечето от тях не сканират слоя на фърмуера.
ESET Unified Extensible Firmware Interface (UEFI) Scanner добавя първото в индустрията ниво на защита срещу UEFI boot kits чрез сканиране за зловреден софтуер в слоя на фърмуера.
Следните продукти на ESET съдържат UEFI скенер:
- ESET Mail Security за Microsoft Exchange Server (версия 7.3 и по-нова)
- ESET File Security за Microsoft Windows Server (версия 7.3 и по-нова)
- ESET Security за Microsoft SharePoint Server (версия 7.3 и по-нова)
- ESET Mail Security за IBM Domino (версия 7.3 и по-нова)
- ESET Smart Security Premium (версия 11 и по-нова)
- ESET Internet Security (версия 16 и по-нова)
- ESET NOD32 Antivirus (версия 16 и по-нова)
- ESET Endpoint Security/Antivirus (версия 7.3 и по-нова)
Решение
Решаване на проблема с откриванията на ESET UEFI
-
Актуализирайте фърмуера от доставчика на компютъра и сканирайте отново с ESET UEFI скенера. Ако засичането на UEFI остане, можете да помолите доставчика на компютъра да актуализира фърмуера си, за да премахне проблемното засичане.
- Изключете откриването във вашия продукт на ESET. Ако сте активирали откриването на потенциално опасни приложения и Вашият доставчик на компютри не премахне приложението от своя фърмуер, можете да изключите откриването от бъдещи сканирания.
Домашни потребители: Изключване.
Бизнес потребители версия 8 и по-нова: - Бизнес потребителите могат да използват Windows Windows 8 и по-нова версия:
- Добавяне или редактиране на изключвания за откриване (8.x и по-нова версия ) чрез Разширена настройка в продукта за сигурност на ESET
- Създаване на изключения (8.x и по-нова версия ) чрез ESET PROTECT On-Prem
Опция за откриване
В случай на откриване на UEFI, изберете Откриване, за да работи изключването.
Фигура 1-1
Бизнес потребители версия 7:
Въведете името на вашето детектиране (например EFI/CompuTrace.A).
-
Деактивиране на опцията Откриване на потенциално опасни приложения във Вашия продукт на ESET
Домашни потребители: Конфигуриране на продуктите на ESET за откриване или игнориране на нежелани, опасни и подозрителни приложения.
Бизнес потребители: Включване или изключване на откриването на крайни точки на потенциално нежелани/опасни приложения с помощта на ESET PROTECT On-Prem
-
Презаредете SPI флаш паметта, в която се намира UEFI. Това е деликатна и сложна процедура и е различна за всяка дънна платка. Производителят на вашия компютър ще може да ви каже дали това е възможно
-
За подробна информация относно зловредния софтуер за UEFI, включително за предотвратяване и отстраняване, вижте следната публикация на WeLiveSecurity.com: Lojax: Първият руткит UEFI, открит в дивата природа, благодарение на групатаSednit
-
Ако смятате, че откриването е неправилно, изпратете
Как да защитите компютъра си от зловреден софтуер за UEFI
- Използвайте компютър спо-нов чипсет
Проверете дали всички ваши системи имат съвременни чипсети с Platform Controller Hub (като се започне от чипсетите Intel Series 5 и нататък). - Уверете се, че компютърът ви има активирана функция Secure Boot
Обикновено зловредният софтуер на UEFI не е правилно подписан, а активирането на Secure Boot ще му попречи да се зареди и да зарази компютъра ви. - Актуализирайте фърмуера на UEFI в компютъра си
Препоръчваме ви да извършите актуализация на фърмуера на UEFI, дори ако компютърът ви не ви уведомява за откриването му. Като превантивна мярка това може да помогне да се минимизират шансовете за този вид инфекция.
ESET открива злонамерен софтуер или приложения за UEFI
Сканирането на UEFI е налично в последните версии на продуктите на ESET. Вижте раздел Подробности по-горе за списък на продуктите на ESET, които съдържат UEFI скенер.
По подразбиране откриването на потенциално опасни или нежелани приложения е деактивирано в продуктите на ESET. Тъй като UEFI инфекциите са много специфични за хардуерния фърмуер, който заразяват, ESET може да открие и да ви уведоми само за UEFI инфекция. UEFI се сканира само по време на стартиране или сканиране при поискване, когато е избрана опцията Boot sectors/UEFI.
Need further assistance? Contact ESET Technical Support.
