[KB6567] Můj počítač má napadené UEFI, ESET detekoval hrozbu, co mám dělat?

Situace

  • Váš produkt ESET upozoňuje na přítomnost škodlivého kódu v UEFI (EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
  • Co je škodlivý kód v UEFI a jak se před ním chránit?
  • Jak vyřešit problém detekce v UEFI?

Detaily


UEFI (u starčích počítačů v minulosti BIOS) je základní firmware počítače. Při startu počítače se načítá do paměti jako první. UEFI je uložený ve flash paměti chipu osazeném přímo na základní desce počítače. Pokud útočník infikuje UEFI, dokáže nasadit škodlivý kód, který je odolný vůči reinstalaci operačního systému, restartování systému či fyzické výměně systémového disku. Takto ukrytý škodlivý kód mimo jiné nemusí bezpečnostní řešení zachytit, protože většina z nich UEFI nekontroluje.

Představením kontroly UEFI, která vyhledává hrozby už na nejnižší systémové úrovni, společnost ESET jako první poskytla vrstvu zabezpečení chránící před UEFI bootkity. 

Kontrola UEFI je součástí následujících bezpečnostních produktů od společnosti ESET:

  • ESET Mail Security pro Microsoft Exchange Server (verze 7 a novější)
  • ESET File Security pro Microsoft Windows Server (verze 7 a novější)
  • ESET Security pro Microsoft SharePoint Server (verze 7 a novější)
  • ESET Mail Security pro IBM Domino (verze 7 a novější)
  • ESET Smart Security Premium (verze 11 a novější)
  • ESET Internet Security (verze 11 a novější)
  • ESET NOD32 Antivirus (verze 11 a novější)
  • ESET Endpoint Security/Antivirus (verze 7 a novější)

Řešení

Možnosti řešení detekce UEFI

Pokud nemáte zkušenosti s UEFI

UEFI je specifický firmware vázaný na konkrétní hardware. Z tohoto důvodu vás produkt ESET pouze upozorní na infiltraci, není však technicky možné, aby jej modifikoval. Škodlivého kódu se zbavíte výhradně jeho přehráním. Pokud nemáte zkušenosti s nastavením UEFI, procesem aktualizace a tzv. flashováním, doporučujeme se obrátit na odborníka, který vám bude schopen pomoci.

Firemní uživatelé verze 7:

Zadejte název detekce (například, EFI/CompuTrace.A).

Obrázek 1-2
.
  • Ve vašem produktu ESET zakažte volbu Detekce potenciálně zneužitelných aplikací

Domácí uživatelé: Zapněte nebo vypněte detekci potenciálně nechtěných, zneužitelných nebo podezřelých aplikací.

Firemní uživatelé: Zapněte nebo vypněte detekci potenciálně nechtěných nebo zneužitelných aplikací pomocí ESET PROTECT

  • Proveďte reset SPI Flash paměťi, ve které se nachází UEFI. Jedná se však o složitý postup, který se může u každé základní desky lišit. Informujte se u výrobce dané základní desky, zda je to ve vašem případě možné.

  • Více informací o UEFI malware, včetně prevence naleznete na webu společnosti ESET, na WeLiveSecurity.com.

  • Pokud se domníváte, že jde o chybnou detekci, zašlete, prosím, detekci do ESET virové laboratoře k analýze.


Jak ochránit počítač před UEFI malware

  • Používejte počítač s nejnovějším chipsetem
    Ověřte, zda všechny vaše systémy disponují moderním chipsetem s Platform Controller Hubem (k dispozici od chipset série počínaje řadou Intel 5).

  • Ujistěte se, že váš počítač má aktivní Secure Boot
    UEFI malware bývá typicky nesprávně podepsaný. Zapnutý Secure boot zabraňuje jeho načtení a následnému infikování počítače.

  • Aktualizujte UEFI firmware v počítači
    Aktualizujte UEFI i v případě, že vás systém na detekci neupozorní. Jedná se o preventivní opatření, kterým lze minimalizovat napadení UEFI.

ESET detekuje UEFI malware nebo aplikace

Kontrola UEFI je k dispozici v nejnovějších verzích produktů ESET. Seznam produktů, které obsahují UEFI skener naleznete výše v sekci Detaily

Ve výchozím nastavení je v produktech ESET detekce potenciálně zneužitelných nebo nechtěných aplikací vypnuta. Z důvodu, že UEFI infekce jsou velmi specifické pro hardwarový firmware, který infikují, ESET pouze informuje o nalezené detekci v UEFI. UEFI část je kontrolována pouze při kontrole při startu nebo při volitelné kontrole, u které je zvoleno kontrolování Boot sectors/UEFI.

Obrázek 2-1
.

Pokud se vám nepodařilo problém vyřešit, kontaktujte technickou podporu společnosti ESET.