[KB6567] Tennivalók UEFI riasztás esetén

Probléma

Részletek


Kattintson a részletekhez

UEFI-észlelések

Mivel az UEFI-észlelések a hardverhez tartozó firmware-specifikusak, ezért az ESET nem tudja eltávolítani az UEFI-észleléseket. A lehetséges helyreállítási lépéseket a Megoldás részben találhatja meg.

Az UEFI firmware a számítógép indítási folyamatának az elején töltődik be a memóriába. Egy flash memória chipben tárolódik, ami az alaplapra van forrasztva. Ha a támadók megfertőzik a firmwaret, akkor úgy tudnak elhelyezni malwaret, hogy az túléli a rendszer újratelepítését, újraindítását, de még a merevlemez cseréjét is. A malware észrevétlen maradhat az antivírus programok előtt, mivel többségük nem ellenőrzi a firmwareket.

Az ESET a firmware szintjén megvalósított ellenőrzés segítségével elsőként biztosít védelmet az UEFI kártevőkkel szemben. 

A következő ESET programok biztosítják ezt a fajta védelmet (UEFI scanner):

  • ESET Mail Security for Microsoft Exchange Server (7-es verzió)
  • ESET File Security for Microsoft Windows Server (7-es verzió)
  • ESET Security for Microsoft SharePoint Server (7-es verzió)
  • ESET Mail Security for IBM Domino (7-es verzió)
  • ESET File Security for Azure
  • ESET Smart Security Premium (11-es és újabb verzió)
  • ESET Internet Security (11-es és újabb verzió)
  • ESET NOD32 Antivirus (11-es és újabb verzió)
  • ESET Endpoint Security/Antivirus (7-es és újabb verziók)

Megoldás

Az ESET UEFI riasztásainak kezelése

Ha nem rendelkezik tapasztalattal az UEFI-t illetően

Ha nem ismeri az UEFI beállításait vagy a frissítési/flashelési folyamatokat, javasoljuk, hogy forduljon tapasztalt szakemberhez, a szükséges teendők elvégzését illetően.

  • Frissítse az alaplapi firmware-t a gyártó honlapjáról letöltött frisssítéssel, és végezzen újra ellenőrzést az ESET UEFI szkennerrel. Ha az UEFI észlelés továbbra is fennáll, akkor megkérheti a számítógép forgalmazóját, hogy frissítse firmware-t a problémás észlelés eltávolítása érdekében. 

  • Zárja ki az észlelést az ESET termékében. Ha engedélyezte a veszélyes alkalmazások észlelését, és a számítógép forgalmazója nem távolítja el az alkalmazást a firmware-ből, kizárhatja az észlelést a jövőbeni vizsgálatokból. 

    Otthoni felhasználók esetén: Alkalmazás kizárása a keresésből név alapján az ESET otthoni windowsos termékeiben.

    8-as vagy újabb verziójú védelmi programmal rendelkező vállalati felhasználók esetén:

7-es verziójú védelmi programmal rendelkező vállalati felhasználók esetén:

Adja meg az Észlelt elem nevét (legyen például az észlelt elem neve:  EFI/CompuTrace.A).


Hogyan védje meg számítógépét UEFI fertőzéssel szemben

  • Olyan számítógépet használjon, aminek újabb chipkészlete van
    Ellenőrizze, hogy a rendszere modern chipkészlettel (Platform Controller Hub) rendelkezzen (Intel 5-ös chipkészlettől kezdődően).

  • Legyen engedélyezve a Secure Boot opció 
    Az UEFI fertőzések rendszerint nincsenek szabályos aláírással ellátva, így a Secure Boot opció meg tudja gátolni a fertőzés települését.

  • Frissítse az UEFI firmware verzióját
    Abban az esetben is javasolt az UEFI firmware frissítése az elérhető legújabb verzióra, ha az ESET nem is detektál fertőzést. Megelőzésképpen hasznos és minimalizálható egy esetleges fertőzés lehetősége. 

Az ESET program UEFI malware-t vagy alkalmazásokat észlel

Az UEFI ellenőrzés az ESET programok legújabb verzióiban érhető el. Ezen programverziók részletes listáját a Részletek bekezdésben találja. 

Alapértelmezetten a kéretlen vagy veszélyes alkalmazások keresése nincs engedélyezve az ESET programokban. Mivel az UEFI fertőzések nagyon hardverspecifikusak, így az ESET csak detektálni tudja és jelezni az UEFI fertőzést. Az UEFI ellenőrzését csak a gépindításkor lefutott ellenőrzés és az egyéni ellenőrzés vizsgálja, ha az erre vonatkozó "Rendszerindítási szektorok/UEFI" opció be van pipálva.

Amennyiben kérdése merülne fel a témával kapcsolatban,  Kapcsolatfelvétel a terméktámogatásunkkal: Az ESET magyarországi csapata.

További segítségnyújtás

További információ