Проблема
- Як діяти у випадку отримання сповіщення про виявлення UEFI від продукту (наприклад, EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
- Як захистити комп'ютер від шкідливого програмного забезпечення, націленого на UEFI
- Як ESET виявляє шкідливе програмне забезпечення, націлене на UEFI
Деталі
Натисніть, щоб розгорнути
Програма UEFI завантажується в пам'ять на початку процесу завантаження. Вона зберігається в мікросхемі флеш-пам'яті на материнській платі. Якщо зловмисники компрометують вбудоване програмне забезпечення, вони можуть розгорнути шкідливе програмне забезпечення, яке залишається в системі навіть після перевстановлення системи, перезавантаження і навіть встановлення нового жорсткого диска. Шкідливе програмне забезпечення також може залишатися непоміченим антивірусними рішеннями, оскільки більшість з них не сканують рівень вбудовоного програмного забезпечення.
Сканер ESET Unified Extensible Firmware Interface (UEFI), перший на ринку, забезпечує захист від буткітів UEFI, скануючи шкідливе програмне забезпечення на рівні вбудованого програмного забезпечення.
Сканер UEFI міститься в наступних продуктах ESET:
- ESET Mail Security для Microsoft Exchange Server (версія 7 і вище)
- ESET File Security для Microsoft Windows Server (версія 7 і вище)
- ESET Security для Microsoft SharePoint Server (версія 7 і вище)
- ESET Mail Security для Microsoft Exchange Server (версія 7 і вище)
- ESET Mail Security для IBM Domino (версія 7 і вище)
- ESET Smart Security Premium (версія 11 і вище)
- ESET Internet Security (версія 11 і вище)
- ESET Endpoint Security/Antivirus (версія 7 і вище)
Рішення
Як діяти у разі отримання сповіщення про виявлення загрози UEFI
-
Оновіть вбудоване програмне забезпечення від виробника комп'ютера та виконайте повторне сканування за допомогою сканера UEFI у продукті ESET. Якщо виявлення UEFI не зникне, ви можете звернутися до постачальника комп'ютера з проханням оновити вбудоване програмне забезпечення, щоб усунути проблемне виявлення.
- Вимкніть виявлення у вашому продукті ESET. Якщо ви ввімкнули виявлення потенційно небезпечних програм, а постачальник комп'ютера не видалив програму зі свого вбудованого програмного забезпечення, ви можете зробити виключення для виявлення з майбутніх сканувань.
Домашнім користувачам: Створити виключення за назвою зі сканування в продуктах ESET для Windows.
Бізнес-користувачі версії 8 і вище:
- Додавання або редагування виключень виявлення (8.x і вище) за допомогою розширених налаштувань у продукті ESET
- Створення виключень (8.x і вище) через ESET PROTECT
Опція виявлення
У випадку з виявленням UEFI виберіть Виявлення, щоб виключення працювало.
Рисунок 1-1 Бізнес-користувачі версії 7:
- Додавання або редагування виключень виявлення (7.x)
Введіть назву вашого виявлення (наприклад, EFI/CompuTrace.A).
Рисунок 1-2 - Вимкніть параметр Виявлення потенційно небезпечних програм у вашому продукті ESET:
Домашні користувачі: Налаштування продуктів ESET для виявлення або ігнорування небажаних, небезпечних і підозрілих програм.
Бізнес-користувачі: Увімкнення або вимкнення виявлення потенційно небажаних/небезпечних програм на робочих станціях за допомогою ESET PROTECT.
-
Перезавантажте флеш-пам'ять SPI, де знаходиться UEFI. Це делікатна і складна процедура, яка відрізняється для кожної материнської плати. Виробник вашого комп'ютера зможе підказати вам, чи можливо це зробити.
-
Докладні відомості про шкідливе програмне забезпечення UEFI, зокрема запобігання та усунення, можна знайти в матеріалі: Lojax: Перший UEFI-руткіт, знайдений в реальному середовищі завдяки групі Sednit.
-
Якщо ви вважаєте, що виявлення некоректне, надішліть інформацію в лабораторію ESET для аналізу.
Як захистити комп'ютер від шкідливого програмного забезпечення для UEFI
- Використовуйте комп'ютер з найновішим чипом
Переконайтеся, що всі ваші системи мають сучасні чипом за допомогою Platform Controller Hub (починаючи з Intel Series 5 і вище). - Переконайтеся, що на вашому комп'ютері увімкнено безпечне завантаження
Зазвичай шкідливе програмне забезпечення UEFI не має належного підпису, і наявність увімкненого безпечного завантаження не дасть йому завантажитися та заразити ваш комп'ютер. - Оновіть вбудоване програмне забезпечення UEFI на комп'ютері
Рекомендовано виконати оновлення вбудованого програмного забезпечення UEFI, навіть якщо комп'ютер не повідомляє вас про виявлення. Це може допомогти звести до мінімуму шанси цього типу інфікування.
Як ESET виявляє шкідливе програмне забезпечення, націлене UEFI
Сканування UEFI доступне в актуальних версіях продуктів ESET. Список продуктів ESET, які містять сканер UEFI, можна знайти у розділі Деталі вище.
За замовчуванням виявлення потенційно небезпечних або небажаних програм у продуктах ESET вимкнено. Оскільки UEFI-інфікування дуже специфічне для вбудованого програмного забезпечення, яке вони заражають, ESET може лише виявити та повідомити вас про загрозу для UEFI. UEFI сканується лише під час сканування під час запуску або під час сканування на вимогу, коли вибрано параметр Завантажувальні сектори/UEFI.
Рисунок 2-1
- Додавання або редагування виключень виявлення (7.x)
