Probléma
- Az UEFI riasztásokkal kapcsolatos tennivalók (például, EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
- Hogyan védjem a számítógépet az UEFI malware-ekkel szemben
- Az ESET program UEFI fertőzést vagy UEFI alkalmazást talált
Részletek
Kattintson a részletekhez
Az UEFI firmware a számítógép indítási folyamatának az elején töltődik be a memóriába. Egy flash memória chipben tárolódik, ami az alaplapra van forrasztva. Ha a támadók megfertőzik a firmwaret, akkor úgy tudnak elhelyezni malwaret, hogy az túléli a rendszer újratelepítését, újraindítását, de még a merevlemez cseréjét is. A malware észrevétlen maradhat az antivírus programok előtt, mivel többségük nem ellenőrzi a firmwareket.
Az ESET a firmware szintjén megvalósított ellenőrzés segítségével elsőként biztosít védelmet az UEFI kártevőkkel szemben.
A következő ESET programok biztosítják ezt a fajta védelmet (UEFI scanner):
- ESET Mail Security for Microsoft Exchange Server (7-es verzió)
- ESET File Security for Microsoft Windows Server (7-es verzió)
- ESET Security for Microsoft SharePoint Server (7-es verzió)
- ESET Mail Security for IBM Domino (7-es verzió)
- ESET File Security for Azure
- ESET Smart Security Premium (11-es és újabb verzió)
- ESET Internet Security (11-es és újabb verzió)
- ESET NOD32 Antivirus (11-es és újabb verzió)
- ESET Endpoint Security/Antivirus (7-es és újabb verziók)
Megoldás
Az ESET UEFI riasztásainak kezelése
-
Frissítse az alaplapi firmware-t a gyártó honlapjáról letöltött frisssítéssel, és végezzen újra ellenőrzést az ESET UEFI szkennerrel. Ha az UEFI észlelés továbbra is fennáll, akkor megkérheti a számítógép forgalmazóját, hogy frissítse firmware-t a problémás észlelés eltávolítása érdekében.
- Zárja ki az észlelést az ESET termékében. Ha engedélyezte a veszélyes alkalmazások észlelését, és a számítógép forgalmazója nem távolítja el az alkalmazást a firmware-ből, kizárhatja az észlelést a jövőbeni vizsgálatokból.
Otthoni felhasználók esetén: Alkalmazás kizárása a keresésből név alapján az ESET otthoni windowsos termékeiben.
8-as vagy újabb verziójú védelmi programmal rendelkező vállalati felhasználók esetén:
- Kivételek hozzáadása vagy szerkesztése (8.x vagy újabb verzió) az ESET termékben található További beállítások segítségével
- Kivételek létrehozása (8.x vagy újabb verzió) az ESET PROTECT segítségével
7-es verziójú védelmi programmal rendelkező vállalati felhasználók esetén:
Adja meg az Észlelt elem nevét (legyen például az észlelt elem neve: EFI/CompuTrace.A).
- Kapcsolja ki az ESET programjában a "veszélyes alkalmazások keresése" opciót.
Otthoni felhasználók esetén: Kéretlen, veszélyes vagy gyanús alkalmazások észlelésének be- és kikapcsolása az ESET termékeiben.
Vállalati felhasználók esetén: A potenciálisan kéretlen/veszélyes alkalmazások végponti felismerésének engedélyezése vagy letiltása az ESET PROTECT használatával.
- Frissítse az SPI Flash Memóriát ahol az UEFI található. Ez egy bonyolult folyamat, amely minden alaplapnál más. A gyártó cég tud arról információval szolgálni, hogy lehetséges-e vagy sem.
- Ha többet szeretne tudni az UEFI fertőzések észlelésével és elhárításával kapcsolatban, akkor tekintse meg az alábbi WeLiveSecurity.com bejegyzésünket: Lojax: First UEFI rootkit found in the wild, courtesy of the Sednit group.
- Ha úgy véli, hogy az észlelés téves, akkor továbbítsa a kérdéses riasztást az ESET víruslaborjának további elemzésre.
Hogyan védje meg számítógépét UEFI fertőzéssel szemben
- Olyan számítógépet használjon, aminek újabb chipkészlete van
Ellenőrizze, hogy a rendszere modern chipkészlettel (Platform Controller Hub) rendelkezzen (Intel 5-ös chipkészlettől kezdődően). - Legyen engedélyezve a Secure Boot opció
Az UEFI fertőzések rendszerint nincsenek szabályos aláírással ellátva, így a Secure Boot opció meg tudja gátolni a fertőzés települését. - Frissítse az UEFI firmware verzióját
Abban az esetben is javasolt az UEFI firmware frissítése az elérhető legújabb verzióra, ha az ESET nem is detektál fertőzést. Megelőzésképpen hasznos és minimalizálható egy esetleges fertőzés lehetősége.
Az ESET program UEFI malware-t vagy alkalmazásokat észlel
Az UEFI ellenőrzés az ESET programok legújabb verzióiban érhető el. Ezen programverziók részletes listáját a Részletek bekezdésben találja.
Alapértelmezetten a kéretlen vagy veszélyes alkalmazások keresése nincs engedélyezve az ESET programokban. Mivel az UEFI fertőzések nagyon hardverspecifikusak, így az ESET csak detektálni tudja és jelezni az UEFI fertőzést. Az UEFI ellenőrzését csak a gépindításkor lefutott ellenőrzés és az egyéni ellenőrzés vizsgálja, ha az erre vonatkozó "Rendszerindítási szektorok/UEFI" opció be van pipálva.