[KB6567] Tennivalók UEFI riasztás esetén

Probléma

Az UEFI riasztásokkal kapcsolatos tennivalók (például, EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
Hogyan védjem a számítógépet az UEFI malware-ekkel szemben
Az ESET program UEFI fertőzést vagy UEFI alkalmazást talált

Részletek

Kattintson a részletekhez

UEFI-észlelések

Mivel az UEFI-észlelések a hardverhez tartozó firmware-specifikusak, ezért az ESET nem tudja eltávolítani az UEFI-észleléseket. A lehetséges helyreállítási lépéseket a Megoldás részben találhatja meg.

Az UEFI firmware a számítógép indítási folyamatának az elején töltődik be a memóriába. Egy flash memória chipben tárolódik, ami az alaplapra van forrasztva. Ha a támadók megfertőzik a firmwaret, akkor úgy tudnak elhelyezni malwaret, hogy az túléli a rendszer újratelepítését, újraindítását, de még a merevlemez cseréjét is. A malware észrevétlen maradhat az antivírus programok előtt, mivel többségük nem ellenőrzi a firmwareket.

Az ESET a firmware szintjén megvalósított ellenőrzés segítségével elsőként biztosít védelmet az UEFI kártevőkkel szemben.

A következő ESET programok biztosítják ezt a fajta védelmet (UEFI scanner):

ESET Mail Security for Microsoft Exchange Server (7-es verzió)
ESET File Security for Microsoft Windows Server (7-es verzió)
ESET Security for Microsoft SharePoint Server (7-es verzió)
ESET Mail Security for IBM Domino (7-es verzió)
ESET File Security for Azure
ESET Smart Security Premium (11-es és újabb verzió)
ESET Internet Security (11-es és újabb verzió)
ESET NOD32 Antivirus (11-es és újabb verzió)
ESET Endpoint Security/Antivirus (7-es és újabb verziók)

Megoldás

Az ESET UEFI riasztásainak kezelése

Ha nem rendelkezik tapasztalattal az UEFI-t illetően

Ha nem ismeri az UEFI beállításait vagy a frissítési/flashelési folyamatokat, javasoljuk, hogy forduljon tapasztalt szakemberhez, a szükséges teendők elvégzését illetően.

Frissítse az alaplapi firmware-t a gyártó honlapjáról letöltött frisssítéssel, és végezzen újra ellenőrzést az ESET UEFI szkennerrel. Ha az UEFI észlelés továbbra is fennáll, akkor megkérheti a számítógép forgalmazóját, hogy frissítse firmware-t a problémás észlelés eltávolítása érdekében.
Zárja ki az észlelést az ESET termékében. Ha engedélyezte a veszélyes alkalmazások észlelését, és a számítógép forgalmazója nem távolítja el az alkalmazást a firmware-ből, kizárhatja az észlelést a jövőbeni vizsgálatokból.

Otthoni felhasználók esetén: Alkalmazás kizárása a keresésből név alapján az ESET otthoni windowsos termékeiben.

8-as vagy újabb verziójú védelmi programmal rendelkező vállalati felhasználók esetén:
- Kivételek hozzáadása vagy szerkesztése (8.x vagy újabb verzió) az ESET termékben található További beállítások segítségével
- Kivételek létrehozása (8.x vagy újabb verzió) az ESET PROTECT segítségével
  
  Észlelési beállítások
  
  UEFI észlelése esetén a megfelelő működéshez válassza a Kártevő kizárási feltételt.

7-es verziójú védelmi programmal rendelkező vállalati felhasználók esetén:

- Kivételek hozzáadása vagy szerkesztése (7.x)

Adja meg az Észlelt elem nevét (legyen például az észlelt elem neve: EFI/CompuTrace.A).

Kapcsolja ki az ESET programjában a "veszélyes alkalmazások keresése" opciót.

Otthoni felhasználók esetén: Kéretlen, veszélyes vagy gyanús alkalmazások észlelésének be- és kikapcsolása az ESET termékeiben.

Vállalati felhasználók esetén: A potenciálisan kéretlen/veszélyes alkalmazások végponti felismerésének engedélyezése vagy letiltása az ESET PROTECT használatával.
Frissítse az SPI Flash Memóriát ahol az UEFI található. Ez egy bonyolult folyamat, amely minden alaplapnál más. A gyártó cég tud arról információval szolgálni, hogy lehetséges-e vagy sem.
Ha többet szeretne tudni az UEFI fertőzések észlelésével és elhárításával kapcsolatban, akkor tekintse meg az alábbi WeLiveSecurity.com bejegyzésünket: Lojax: First UEFI rootkit found in the wild, courtesy of the Sednit group.
Ha úgy véli, hogy az észlelés téves, akkor továbbítsa a kérdéses riasztást az ESET víruslaborjának további elemzésre.

Hogyan védje meg számítógépét UEFI fertőzéssel szemben

Olyan számítógépet használjon, aminek újabb chipkészlete van
Ellenőrizze, hogy a rendszere modern chipkészlettel (Platform Controller Hub) rendelkezzen (Intel 5-ös chipkészlettől kezdődően).
Legyen engedélyezve a Secure Boot opció
Az UEFI fertőzések rendszerint nincsenek szabályos aláírással ellátva, így a Secure Boot opció meg tudja gátolni a fertőzés települését.
Frissítse az UEFI firmware verzióját
Abban az esetben is javasolt az UEFI firmware frissítése az elérhető legújabb verzióra, ha az ESET nem is detektál fertőzést. Megelőzésképpen hasznos és minimalizálható egy esetleges fertőzés lehetősége.

Az ESET program UEFI malware-t vagy alkalmazásokat észlel

Az UEFI ellenőrzés az ESET programok legújabb verzióiban érhető el. Ezen programverziók részletes listáját a Részletek bekezdésben találja.

Alapértelmezetten a kéretlen vagy veszélyes alkalmazások keresése nincs engedélyezve az ESET programokban. Mivel az UEFI fertőzések nagyon hardverspecifikusak, így az ESET csak detektálni tudja és jelezni az UEFI fertőzést. Az UEFI ellenőrzését csak a gépindításkor lefutott ellenőrzés és az egyéni ellenőrzés vizsgálja, ha az erre vonatkozó "Rendszerindítási szektorok/UEFI" opció be van pipálva.

Amennyiben kérdése merülne fel a témával kapcsolatban,

kérem, vegye fel a kapcsolatot terméktámogatásunkkal: Az ESET magyarországi csapata.

Utolsó frissítés: 2023. jan. 23.