Themen
- Beseitigung von ESET UEFI-Erkennungen (zum Beispiel EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
- Schutz des Computers vor UEFI-Malware
- ESET erkennt UEFI-Malware oder Anwendungen
Details
Klick zum Vergrößern
Die UEFI-Firmware wird zu Beginn des Bootvorgangs in den Speicher geladen. Sie ist in einem Flash-Speicherchip gespeichert, der auf das Mainboard gelötet ist. Wenn Angreifer die Firmware infizieren, können sie Malware einschleusen, die Neuinstallationen des Systems, Neustarts und sogar die Installation einer neuen Festplatte überlebt. Die Malware kann auch von Antimalware-Lösungen unbemerkt bleiben, da die meisten von ihnen die Firmware-Ebene nicht scannen.
Der ESET Unified Extensible Firmware Interface (UEFI) Scanner fügt eine branchenweit einzigartige Schutzschicht gegen UEFI-Bootkits hinzu, indem er die Firmware-Ebene auf Malware scannt.
Die folgenden ESET Produkte enthalten den UEFI-Scanner:
- ESET Mail Security für Microsoft Exchange Server (Version 7 und höher)
- ESET File Security für Microsoft Windows Server (ab Version 7)
- ESET Sicherheit für Microsoft SharePoint Server (ab Version 7)
- ESET Mail Security für IBM Domino (ab Version 7)
- ESET Smart Security Premium (Version 11 und höher)
- ESET Internet Security (Version 11 und höher)
- ESET NOD32 Antivirus (Version 11 und höher)
- ESET Endpoint Security/Antivirus (Version 7 und höher)
Lösung
Beseitigung von ESET UEFI-Erkennungen
-
Aktualisieren Sie die Firmware Ihres Computerherstellers und scannen Sie erneut mit dem ESET UEFI-Scanner. Wenn die UEFI-Erkennung bestehen bleibt, können Sie Ihren Computerhersteller bitten, seine Firmware zu aktualisieren, um die problematische Erkennung zu entfernen.
- Schließen Sie die Erkennung in Ihrem ESET Produkt aus. Wenn Sie die Erkennung von potenziell unsicheren Anwendungen aktiviert haben und Ihr Computerhersteller die Anwendung nicht aus seiner Firmware entfernt, können Sie die Erkennung von zukünftigen Scans ausschließen.
Heimanwender: Eine Anwendung nach Namen von der Überprüfung in ESET Windows Home Produkten ausschließen.
Business-Anwender Version 8 und höher:
- Hinzufügen oder Bearbeiten von Erkennungsausschlüssen (8.x und später) über das erweiterte Setup in Ihrem ESET Sicherheitsprodukt
- Ausschlüsse erstellen (8.x und später) über ESET PROTECT
Erkennungsoption
Im Falle einer UEFI-Erkennung muss die Option Erkennung gewählt werden, damit der Ausschluss funktioniert.
Abbildung 1-1
Geschäftskunden Version 7:
Geben Sie Ihren Erkennungsnamen ein (zum Beispiel, EFI/CompuTrace.A).
-
Deaktivieren Sie die Option Erkennung von potenziell unsicheren Anwendungen in Ihrem ESET Produkt
Heimanwender: Konfigurieren Sie ESET Produkte so, dass unerwünschte, unsichere und verdächtige Anwendungen erkannt oder ignoriert werden.
Business-Anwender: Aktivieren oder Deaktivieren der Endpoint-Erkennung von potenziell unerwünschten/unsicheren Anwendungen mit ESET PROTECT
-
Den SPI-Flash-Speicher, in dem sich das UEFI befindet, neu flashen. Dies ist ein heikler und komplexer Vorgang, der bei jedem Motherboard anders ist. Ihr Computerhersteller wird Ihnen sagen können, ob dies möglich ist
-
Ausführliche Informationen zu UEFI-Malware, einschließlich Vorbeugung und Beseitigung, finden Sie im folgenden Beitrag von WeLiveSecurity.com: Lojax: First UEFI rootkit found in the wild, courtesy of the Sednit group
-
Wenn Sie der Meinung sind, dass die Erkennung falsch ist, reichen Sie die Erkennung zur Analyse an das ESET Malware Lab ein
Wie Sie Ihren Computer vor UEFI-Malware schützen
- Verwenden Sie einen Computer mit einem neueren Chipsatz
Vergewissern Sie sich, dass alle Ihre Systeme moderne Chipsätze mit Platform Controller Hub (ab Intel Series 5 Chipsätzen) haben. - Stellen Sie sicher, dass Ihr Computer Secure Boot aktiviert hat
Typischerweise ist UEFI-Malware nicht ordnungsgemäß signiert, und die Aktivierung von Secure Boot verhindert, dass sie geladen wird und Ihren Computer infiziert. - Aktualisieren Sie die UEFI-Firmware auf Ihrem Computer
Wir empfehlen, dass Sie ein UEFI-Firmware-Update durchführen, auch wenn Ihr Computer Sie nicht über eine Erkennung informiert. Als vorbeugende Maßnahme kann dies dazu beitragen, die Wahrscheinlichkeit dieser Art von Infektion zu minimieren.
ESET erkennt UEFI-Malware oder Anwendungen
UEFI-Scans sind in den neuesten Versionen der ESET Produkte verfügbar. Eine Liste der ESET-Produkte, die den UEFI-Scanner enthalten, finden Sie im Abschnitt Details oben.
Standardmäßig ist die Erkennung von potenziell unsicheren oder unerwünschten Anwendungen in ESET Produkten deaktiviert. Da UEFI-Infektionen sehr spezifisch für die Hardware-Firmware sind, die sie infizieren, kann ESET nur eine UEFI-Infektion erkennen und Sie darüber informieren. UEFI wird nur beim Startup-Scan oder beim On-Demand-Scan gescannt, wenn die Option Bootsektoren/UEFI ausgewählt ist.
Need further assistance? Contact ESET Technical Support.
