[KB6567] Ihr Computer ist mit UEFI-Malware infiziert

Problem

  • Ihr ESET Produkt benachrichtigt Sie über eine UEFI-Erkennung (z.B. EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo).
     
  • Was ist UEFI-Malware und wie kann man sie verhindern?
     
  • Wie man Erkennungen von Anwendungen in UEFI behebt

Einzelheiten

UEFI ist eine Firmware, die zu Beginn des Bootvorgangs in den Speicher geladen wird. Der UEFI-Code befindet sich auf einem Flash-Speicherchip, der auf das Mainboard gelötet ist. Wenn Angreifer das UEFI infizieren, können sie Malware einsetzen, die Systemneuinstallationen und Neustarts überlebt. Die Malware kann auch von Antimalware-Lösungen unbemerkt bleiben, da die meisten von ihnen nicht die UEFI-Firmware scannen.

Der ESET UEFI Scanner fügt eine branchenweit erste Schutzebene gegen UEFI-Bootkits hinzu, indem er nach Malware in der Firmware sucht.

Die folgenden ESET Produkte enthalten den UEFI-Scanner:

  • ESET Mail Security für Microsoft Exchange Server (Version 7)
  • ESET Datei-Sicherheit für Microsoft Windows Server (Version 7)
  • ESET-Sicherheit für Microsoft SharePoint Server (Version 7)
  • ESET Mail Security für IBM Domino (Version 7)
  • ESET Datei-Sicherheit für Azure
  • ESET Smart Security Premium (Version 11 und höher)
  • ESET Internet Security (Version 11 und höher)
  • ESET NOD32 Antivirus (Version 11 und höher)
  • ESET Endpoint Security/Antivirus (nur Version 7)

Lösung

ESET erkennt UEFI-Malware oder -Anwendungen

UEFI-Scanning ist in den neuesten Versionen der ESET Produkte verfügbar. Im Abschnitt Details oben finden Sie eine Liste der ESET Produkte, die den UEFI-Scanner enthalten.

Standardmäßig ist die Erkennung von potenziell unsicheren oder unerwünschten Anwendungen in ESET Produkten deaktiviert. Da UEFI-Infektionen sehr spezifisch für die Hardware-Firmware sind, die sie infizieren, kann ESET nur eine UEFI-Infektion erkennen und Sie darüber informieren. UEFI wird nur beim Startup-Scan oder beim On-Demand-Scan gescannt, wenn die Option "Boot Sektoren/UEFI" ausgewählt ist.

Abbildung 1-1

So schützen Sie Ihren Computer vor UEFI-Malware

  • Verwenden Sie einen Computer mit einem neueren Chipsatz.
    Stellen Sie sicher, dass alle Ihre Systeme über moderne Chipsätze mit Platform Controller Hub verfügen (ab Intel Series 5 Chipsätze).
  • Stellen Sie sicher, dass auf Ihrem Computer Secure Boot aktiviert ist.
    Normalerweise ist UEFI-Malware nicht ordnungsgemäß signiert und wenn Secure Boot aktiviert ist, wird sie nicht geladen und infiziert somit Ihren Computer nicht.
  • Aktualisieren Sie Ihre UEFI-Firmware auf Ihrem Computer.
    Wir empfehlen Ihnen, ein UEFI-Firmware-Update durchzuführen, auch wenn Ihr Computer Sie nicht über eine Erkennung informiert. Als vorbeugende Maßnahme kann es dazu beitragen, die Chancen für diese Art von Infektion zu minimieren.

So beheben Sie ESET UEFI-Erkennungen

Da die UEFI-Erkennungen spezifisch für die Hardware-Firmware sind, auf der sie laufen, kann ESET eine UEFI-Erkennung nicht entfernen. Nachfolgend finden Sie mögliche Abhilfemaßnahmen, die Sie ergreifen können.


Detaillierte Informationen über UEFI-Malware einschließlich Prävention und Behebung finden Sie im folgenden Beitrag von WeLiveSecurity.com: Lojax: First UEFI rootkit found in the wild, courtesy of the Sednit group

Falls Ihr Problem weiterhin besteht, kontaktieren Sie bitte den ESET Support.

Zusätzliche Hilfestellung