Problem
- Åtgärda ESET UEFI-upptäckter (t.ex. EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
- Så här skyddar du datorn mot skadlig kod från UEFI
- ESET upptäcker skadlig kod eller program i UEFI
Detaljer
Klicka för att expandera
Den inbyggda UEFI-programvaran laddas in i minnet i början av startprocessen. Den lagras i ett flashminneschip som är fastlött på moderkortet. Om en angripare infekterar den inbyggda programvaran kan de distribuera skadlig kod som överlever ominstallationer, omstarter och till och med nya hårddiskinstallationer. Den skadliga programvaran kan också förbli obemärkt av antimalware-lösningar eftersom de flesta inte skannar firmware-lagret.
ESET Unified Extensible Firmware Interface (UEFI) Scanner lägger till ett första skyddslager mot UEFI-startpaket genom att söka efter skadlig kod i firmware-lagret.
Följande ESET-produkter innehåller UEFI-skannern:
- ESET Mail Security för Microsoft Exchange Server (version 7.3 och senare)
- ESET File Security för Microsoft Windows Server (version 7.3 och senare)
- ESET Security för Microsoft SharePoint Server (version 7.3 och senare)
- ESET Mail Security för IBM Domino (version 7.3 och senare)
- ESET Smart Security Premium (version 11 och senare)
- ESET Internet Security (version 16 och senare)
- ESET NOD32 Antivirus (version 16 och senare)
- ESET Endpoint Security/Antivirus (version 7.3 och senare)
Lösning
Åtgärda ESET UEFI-upptäckter
-
Uppgradera den inbyggda programvaran från din datorleverantör och skanna på nytt med ESET UEFI-skanner. Om UEFI-avkänningen kvarstår kan du be datorleverantören att uppdatera sin inbyggda programvara för att ta bort den problematiska avkänningen.
- Uteslut detekteringen i din ESET-produkt. Om du har aktiverat detektering av potentiellt osäkra program och din datorleverantör inte tar bort appen från sin inbyggda programvara kan du utesluta detekteringen från framtida skanningar.
Hemanvändare: Uteslut ett program med namn från skanning i ESET Windows hemprodukter.
Företagsanvändare version 8 och senare:
- Lägg till eller redigera registreringsundantag (8.x och senare) via Avancerad konfiguration i din ESET-säkerhetsprodukt
- Skapa undantag (8.x och senare) via ESET PROTECT On-Prem
Alternativ för detektering
Om det gäller en UEFI-detektering måste du välja Detektering för att uteslutningen ska fungera.
Figur 1-1
Företagsanvändare version 7:
Skriv in namnet på detekteringen (t.ex. EFI/CompuTrace.A).
-
Inaktivera alternativet Detektering av potentiellt osäkra program i din ESET-produkt
Hemanvändare: Konfigurera ESET-produkter för att upptäcka eller ignorera oönskade, osäkra och misstänkta program.
Företagsanvändare: Aktivera eller inaktivera endpoint-detektering av potentiellt oönskade/osäkra program med ESET PROTECT On-Prem
-
Uppdatera SPI Flash-minnet där UEFI finns. Detta är en känslig och komplicerad procedur som är olika för alla moderkort. Din datortillverkare kan tala om för dig om detta är möjligt
-
För detaljerad information om UEFI-skadlig kod, inklusive förebyggande och åtgärdande, se följande WeLiveSecurity.com-inlägg: Lojax: Första UEFI-rootkit som hittats i naturen, med tillstånd av Sednit-gruppen
-
Om du tror att upptäckten är felaktig, skicka upptäckten till ESET:s malware lab för analys
Så skyddar du din dator från UEFI-skadlig kod
- Använd en dator med ett nyare chipset
Kontrollera att alla dina system har moderna chipset med Platform Controller Hub (från och med Intel Series 5 chipset och framåt). - Se till att Secure Boot är aktiverat på datorn
UEFI-skadlig programvara är vanligtvis inte korrekt signerad, och om du har aktiverat Secure Boot kan du förhindra att den laddas och infekterar din dator. - Uppgradera din UEFI-firmware på din dator
Vi rekommenderar att du uppdaterar UEFI:s inbyggda programvara även om datorn inte meddelar dig om en upptäckt. Som en förebyggande åtgärd kan det hjälpa till att minimera risken för denna typ av infektion.
ESET upptäcker UEFI skadlig kod eller program
UEFI-skanning är tillgänglig i de senaste versionerna av ESET-produkter. Se avsnittet Detaljer ovan för en lista över ESET-produkter som innehåller UEFI-skannern.
Som standard är detektering av potentiellt osäkra eller oönskade program inaktiverat i ESET-produkter. Eftersom UEFI-infektioner är mycket specifika för den maskinvarufirmware de infekterar, kan ESET endast upptäcka och meddela dig om en UEFI-infektion. UEFI genomsöks endast under start eller vid genomsökning på begäran när alternativet Boot sectors/UEFI är markerat.
Need further assistance? Contact ESET Technical Support.
