Problema
- Risolvere i rilevamenti ESET UEFI (ad esempio, EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
- Come proteggere il computer dal malware UEFI
- ESET rileva il malware o le applicazioni UEFI
Dettagli
Clicca per espandere
Il firmware UEFI viene caricato in memoria all'inizio del processo di avvio. È memorizzato in un chip di memoria flash saldato sulla scheda madre. Se gli aggressori infettano il firmware, possono distribuire malware che sopravvive alle reinstallazioni del sistema, ai riavvii e persino alle installazioni di nuovi dischi rigidi. Il malware può anche passare inosservato alle soluzioni antimalware, poiché la maggior parte di esse non esegue la scansione del livello del firmware.
Eset Unified Extensible Firmware Interface (UEFI) Scanner aggiunge un livello di protezione all'avanguardia contro i bootkit UEFI, analizzando il malware nel livello del firmware.
I seguenti prodotti ESET contengono lo scanner UEFI:
- ESET Mail Security per Microsoft Exchange Server (versione 7 e successive)
- ESET File Security per Microsoft Windows Server (versione 7 e successive)
- ESET Security per Microsoft SharePoint Server (versione 7 e successive)
- ESET Mail Security per IBM Domino (versione 7 e successive)
- ESET Smart Security Premium (versione 11 e successive)
- ESET Internet Security (versione 11 e successive)
- ESET NOD32 Antivirus (versione 11 e successive)
- ESET Endpoint Security/Antivirus (versione 7 e successive)
Soluzione
Risolvere i rilevamenti ESET UEFI
Aggiornare il firmware del fornitore del computer e ripetere la scansione con ESET UEFI scanner. Se il rilevamento UEFI permane, è possibile chiedere al fornitore del computer di aggiornare il firmware per rimuovere il rilevamento problematico.
- Escludere il rilevamento nel prodotto ESET. Se è stato attivato il rilevamento di applicazioni potenzialmente non sicure e il fornitore del computer non rimuove l'applicazione dal firmware, è possibile escludere il rilevamento dalle scansioni future.
Utenti privati: Escludi unapplicazione.
Utenti business versione 8 e successive:
- Aggiungi o modifica le esclusioni di rilevamento (8.x e successive) tramite l'impostazione avanzata nel prodotto di sicurezza ESET .
- Creare esclusioni (8.x e successive) tramite ESET PROTECT
Opzione di rilevamento
In caso di rilevamento UEFI, selezionare Rilevamento affinché l'esclusione funzioni.
Figura 1-1
Utenti business versione 7:
Inserire il nome del rilevamento (ad esempio, EFI/CompuTrace.A).
Disabilitare l'opzione Rilevazione di applicazioni potenzialmente non sicure nel prodotto ESET
.
Utenti privati: Configura i prodotti ESET per rilevare o ignorare le applicazioni indesiderate, non sicure e sospette.
Utenti business: Abilita o disabilita il rilevamento degli endpoint di applicazioni potenzialmente indesiderate/non sicure utilizzando ESET PROTECT
Reflashare la memoria flash SPI dove risiede l'UEFI. Si tratta di una procedura delicata e complessa, diversa per ogni scheda madre. Il produttore del computer sarà in grado di dirvi se questo è possibile
Per informazioni dettagliate sul malware UEFI, comprese la prevenzione e la correzione, consultare il seguente post di WeLiveSecurity.com: Lojax: Il primo rootkit UEFI trovato in natura, per gentile concessione del Sednit gruppo
Se pensate che il rilevamento non sia corretto, invia il rilevamento al laboratorio malware di ESET per lanalisi focus
Come proteggere il computer dal malware UEFI
- Utilizzate un computer con un chipset più recente
Verificate che tutti i vostri sistemi abbiano chipset moderni con Platform Controller Hub (a partire dai chipset Intel Serie 5). - Assicuratevi che il vostro computer abbia il Secure Boot abilitato
Di solito, il malware UEFI non è firmato correttamente, e avere il Secure Boot abilitato impedirà che venga caricato e infetti il vostro computer. - Aggiornare il firmware UEFI del computer
Si consiglia di eseguire un aggiornamento del firmware UEFI anche se il computer non notifica il rilevamento. Come misura preventiva, può aiutare a minimizzare le possibilità di questo tipo di infezione.
ESET rileva malware o applicazioni UEFI
La scansione UEFI è disponibile nelle ultime versioni dei prodotti ESET. Per un elenco dei prodotti ESET che contengono lo scanner UEFI, consultare la sezione Details qui sopra.
Per impostazione predefinita, il rilevamento delle applicazioni potenzialmente non sicure o indesiderate è disattivato nei prodotti ESET. Poiché le infezioni UEFI sono molto specifiche per il firmware hardware che infettano, ESET può rilevare e notificare solo un'infezione UEFI. L'UEFI viene analizzato solo durante la scansione all'avvio o durante la scansione su richiesta quando è selezionata l'opzione Settori di avvio/UEFI.
Need further assistance? Contact ESET Technical Support.
