Situace
- Váš produkt ESET upozoňuje na přítomnost škodlivého kódu v UEFI (EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
- Co je škodlivý kód v UEFI a jak se před ním chránit?
- Jak vyřešit problém detekce v UEFI?
Detaily
UEFI (u starčích počítačů v minulosti BIOS) je základní firmware počítače. Při startu počítače se načítá do paměti jako první. UEFI je uložený ve flash paměti chipu osazeném přímo na základní desce počítače. Pokud útočník infikuje UEFI, dokáže nasadit škodlivý kód, který je odolný vůči reinstalaci operačního systému, restartování systému či fyzické výměně systémového disku. Takto ukrytý škodlivý kód mimo jiné nemusí bezpečnostní řešení zachytit, protože většina z nich UEFI nekontroluje.
Představením kontroly UEFI, která vyhledává hrozby už na nejnižší systémové úrovni, společnost ESET jako první poskytla vrstvu zabezpečení chránící před UEFI bootkity.
Kontrola UEFI je součástí následujících bezpečnostních produktů od společnosti ESET:
- ESET Mail Security pro Microsoft Exchange Server (verze 7 a novější)
- ESET File Security pro Microsoft Windows Server (verze 7 a novější)
- ESET Security pro Microsoft SharePoint Server (verze 7 a novější)
- ESET Mail Security pro IBM Domino (verze 7 a novější)
- ESET Smart Security Premium (verze 11 a novější)
- ESET Internet Security (verze 11 a novější)
- ESET NOD32 Antivirus (verze 11 a novější)
- ESET Endpoint Security/Antivirus (verze 7 a novější)
Řešení
Možnosti řešení detekce UEFI
-
Aktualizujte firmware od výrobce vašeho počítače/základní desky a proveďte opětovnou kontrolu pomocí ESET UEFI skeneru. Pokud je UEFI detekce přítomna i nadále, kontaktujte výrobce vašeho počítače/základní desky, aby zajistil aktualizaci firmware, která by měla vést k odstranění detekce v UEFI.
- Nastavte výjimku z detekce ve vašem produktu ESET. Pokud máte aktivní detekci potencionálně zneužitelných aplikací a výrobce počítače/základní desky neodstranil danou aplikaci, můžete vyjmout detekování z dalších kontrol v budoucnu.
Domácí uživatelé: Nastavte výjimku z kontroly podle názvu aplikace v bezpečnostních produktech ESET pro Windows učených pro domácnosti.
Firemní uživatelé verze 8 a novější:
- Přidejte nebo upravte detekční výjimku (verze 8.x a novější) prostřednictvím rozšířeného nastavení v bezpečnostním produktu ESET
- Vzdálené vytvoření výjimky z detekce (8.x a novější) pomocí ESET PROTECT
Možnost detekce
V případě UEFI detekování vyberte položku Detekce, aby následně vyloučení fungovalo.
Obrázek 1-1
Firemní uživatelé verze 7:
Zadejte název detekce (například, EFI/CompuTrace.A).
-
Ve vašem produktu ESET zakažte volbu Detekce potenciálně zneužitelných aplikací
Domácí uživatelé: Zapněte nebo vypněte detekci potenciálně nechtěných, zneužitelných nebo podezřelých aplikací.
Firemní uživatelé: Zapněte nebo vypněte detekci potenciálně nechtěných nebo zneužitelných aplikací pomocí ESET PROTECT
-
Proveďte reset SPI Flash paměťi, ve které se nachází UEFI. Jedná se však o složitý postup, který se může u každé základní desky lišit. Informujte se u výrobce dané základní desky, zda je to ve vašem případě možné.
-
Více informací o UEFI malware, včetně prevence naleznete na webu společnosti ESET, na WeLiveSecurity.com.
-
Pokud se domníváte, že jde o chybnou detekci, zašlete, prosím, detekci do ESET virové laboratoře k analýze.
Jak ochránit počítač před UEFI malware
- Používejte počítač s nejnovějším chipsetem
Ověřte, zda všechny vaše systémy disponují moderním chipsetem s Platform Controller Hubem (k dispozici od chipset série počínaje řadou Intel 5). - Ujistěte se, že váš počítač má aktivní Secure Boot
UEFI malware bývá typicky nesprávně podepsaný. Zapnutý Secure boot zabraňuje jeho načtení a následnému infikování počítače. - Aktualizujte UEFI firmware v počítači
Aktualizujte UEFI i v případě, že vás systém na detekci neupozorní. Jedná se o preventivní opatření, kterým lze minimalizovat napadení UEFI.
ESET detekuje UEFI malware nebo aplikace
Kontrola UEFI je k dispozici v nejnovějších verzích produktů ESET. Seznam produktů, které obsahují UEFI skener naleznete výše v sekci Detaily.
Ve výchozím nastavení je v produktech ESET detekce potenciálně zneužitelných nebo nechtěných aplikací vypnuta. Z důvodu, že UEFI infekce jsou velmi specifické pro hardwarový firmware, který infikují, ESET pouze informuje o nalezené detekci v UEFI. UEFI část je kontrolována pouze při kontrole při startu nebo při volitelné kontrole, u které je zvoleno kontrolování Boot sectors/UEFI.
Pokud se vám nepodařilo problém vyřešit, kontaktujte technickou podporu společnosti ESET.
