Вирус в биосе как узнать
Обновлено: 21.11.2024
В конце 1990-х компьютерный вирус, известный как CIH, начал заражать некоторые компьютеры. Его полезная нагрузка при срабатывании перезаписывала системную информацию и разрушала BIOS компьютера, по сути превращая в кирпич любой компьютер, который он заражал. Может ли вирус, поражающий современные операционные системы (например, Windows 10), разрушить BIOS современного компьютера и таким же образом испортить его, или теперь вирус не может получить доступ к BIOS современного компьютера?
Некоторые (или большинство?) материнских плат для настольных ПК имеют ПЗУ, используемое для восстановления BIOS с какого-либо носителя (в прежние времена это были дискеты, в наши дни — USB-накопители, возможно, компакт-диски). ПЗУ нельзя изменить, однако для восстановления обычно требуется открыть корпус и переместить перемычку для загрузки в режим восстановления BIOS. Я не знаю, как с этим справляются ноутбуки.
9 ответов 9
У современных компьютеров нет BIOS, у них есть UEFI. Обновление прошивки UEFI из работающей операционной системы — стандартная процедура, поэтому любое вредоносное ПО, которому удается запуститься в операционной системе с достаточными привилегиями, может попытаться сделать то же самое. Однако большинство UEFI не принимают обновления, не подписанные производителем в цифровой форме. Это означает, что его невозможно перезаписать произвольным кодом.
Однако это предполагает, что:
- производителям материнских плат удается держать свои закрытые ключи в секрете
- в UEFI нет непреднамеренных уязвимостей безопасности, которые позволяют перезаписать его произвольным кодом или могут иным образом использоваться для нанесения ущерба.
И эти два предположения не обязательно выполняются.
Относительно утечки ключей: если бы ключ подписи UEFI стал известен широкой публике, то вы можете предположить, что было бы довольно много сообщений в СМИ и истерических исправлений. Если вы следите за некоторыми новостями в области ИТ, вы, вероятно, увидите много паникерских заголовков "Если у вас есть системная плата [бренда], ОБНОВИТЕ ВАШ UEFI СЕЙЧАС. 1111oneone". Но еще одна возможность — это ключи для подписи, тайно переданные государственным деятелям. Так что, если ваша работа может быть интересна для промышленного шпионажа, то это также может представлять для вас реальную угрозу.
Относительно ошибок: UEFI получает все больше и больше функций, что дает все больше и больше возможностей для скрытых ошибок. В них также отсутствует большинство внутренних функций безопасности, которые у вас есть после загрузки «настоящей» операционной системы.
Да, это определенно возможно.
В настоящее время, когда UEFI получает широкое распространение, это вызывает еще большую озабоченность: UEFI имеет гораздо большую поверхность атаки, чем традиционная BIOS, а (потенциальный) недостаток в UEFI может заключаться в использовании для получения доступа к машине без каких-либо физических доступ (как продемонстрировали сотрудники Eclypsium на мероприятии Black Hat в прошлом году).
Практически говоря, вирус — это программное обеспечение, поэтому он может делать все то же, что и любое другое программное обеспечение.
Итак, простой способ ответить на этот и все остальные вопросы из класса "Могут ли вирусы делать X?" заключается в том, чтобы спросить: «Выполняет ли программа X в настоящее время?»
Возможны такие вопросы: "Может ли вирус выгуливать мою собаку?" (не без робота-выгульщика собак); «Может ли вирус достать мне пиццу?» (да: к сожалению, это не является основной задачей большинства авторов вирусов).
Обновляются ли в настоящее время BIOS (UEFI) с помощью программного обеспечения? Ответ: да. Мой обновился прошлой ночью, когда я перезагрузился.
Поэтому ответ положительный.
По той же логике вирусы также могут вызывать (и исторически вызывали) физические повреждения вашего процессора, жестких дисков и принтеров.
Системы домашней автоматизации и беспилотные транспортные средства также являются возможными целями для физических повреждений, но я не знаю ни одного вируса, который сделал бы это.
Я не буду возражать, если разработчики вредоносного ПО воспользуются моей личной информацией, чтобы заказать мне бесплатную пиццу и ничего больше. (+1 за полезные рассуждения)
Современным вирусам будет очень трудно нанести физический ущерб. В лучшем случае они могут немного изнашивать аппаратное обеспечение, сильно нагревая ЦП, что сокращает полезный срок службы, но это не часто приводит к ущербу. Хотя раньше такого не было. См. "укол смерти".
@forest Разве в наши дни вентиляторы и системы охлаждения не контролируются программным обеспечением? Я не уверен, но могу поспорить, что вы могли каким-то образом загрязнить вентилятор процессора или графического процессора программным обеспечением. Россия уничтожала генераторы удаленно, включая и выключая их на резонансной частоте — держу пари, что есть подобные трюки, которые могут довольно быстро убить ваш монитор. Жесткие диски с пластинами определенно могут быть испорчены путем их многократного вращения вверх и вниз, твердотельные накопители уязвимы для повторяющихся циклов чтения/записи. Бьюсь об заклад, целеустремленный хакер может многое сделать...
Я думаю, что нам нужно определить область действия «причинить физический ущерб», прежде чем мы решим, возможно ли это/правдоподобно.Если вы ограничиваете определение буквально повреждением компьютера, на котором работает код, это довольно узко, и я думаю, что @forest прав. Если вы включаете физический ущерб в более общем смысле, гораздо проще представить сценарии, в которых зараженный компьютер, управляющий чем-то еще (электростанцией, светофором, системой общественного транспорта, водоочистной станцией и т. д.), может легко нанести серьезный физический ущерб.< /p>
Да, это определенно возможно.
По данным «Лаборатории Касперского», около миллиона ноутбуков Asus были заражены Shadowhammer с обновлением, которое оказалось правильно подписанным. Неизвестно, изменило ли это прошивку, но вполне могло.
Ваш вопрос намекает на более глубокую тему, а именно кольца и разрешения кода в операционной системе. В MS DOS код может делать все, что захочет. Если бы код хотел записать все 0x00 на жесткий диск, он мог бы, если бы он хотел отправить странный вывод на часть оборудования, он мог бы, и ничто не останавливало код пользователя. В современной ОС существует концепция колец (это обеспечивается ЦП). Ядро работает на нулевом кольце и может делать все, что захочет. Код пользователя, с другой стороны, не может. Он работает на чем-то, называемом кольцом 3, и ему дается собственный маленький кусочек памяти, и внутри этой памяти он может делать все, что хочет, но не может напрямую общаться с оборудованием. Если пользовательский код пытается связаться с оборудованием, ядро немедленно уничтожает программу. Это означает, что очень маловероятно, что обычный вирус может убить оборудование, потому что он не может общаться с ним напрямую.
Если ядро взломано, то игра практически окончена. Ядро может делать все, что захочет, и может произойти целый ряд плохих вещей, таких как разгон процессора до точки, при которой аппаратное обеспечение становится нестабильным, очистка жестких дисков (например, заполнение нулями) или почти любая другая правдоподобная атака. .
"Если пользовательский код пытается связаться с оборудованием, ядро немедленно завершает работу программы" — правда? Можете ли вы предоставить цитату для этого? Я думал, что защищенная инструкция просто потерпит неудачу, и программа должна справляться с этим разумно или давать сбой.
<р>. неопределенное состояние в соответствии с POSIX, если выполнение возобновляется после того, как был поднят SIGSEGV, который не был получен из raise() . Он возобновит выполнение инструкции с ошибкой, которая просто запустится снова и заставит процесс заблокироваться, если сигнал будет проигнорирован. Таким образом, может справиться с этим на усмотрение программы, если она устанавливает обработчик сигнала для SIGSEGV, но почти никогда не бывает ситуаций, когда это было бы сделано ( хотя я думаю, что эмулятор Dolphin ловит сегментные ошибки для какой-то хакерской оптимизации, поэтому ему не нужно эмулировать какое-то странное поведение пейджинга и он может полагаться на MMU).Возможно. Однако это будет сложно сделать, так как, скорее всего, где-то в будущем придется маскироваться под официальное обновление BIOS. Способ сделать это будет меняться в зависимости от вашего мобильного устройства, но, скорее всего, это будет связано с утечкой личных или аппаратных ключей или других секретов.
Ошибка прошивки ноутбука MSI означала, что очистка переменных efi приводила к невозможности использования ноутбука. Поскольку эти переменные были открыты для ОС и смонтированы в виде файла, удаление каждого файла на уровне ОС вызывало проблему, которая могла быть использована вирусом для целенаправленного воздействия на эти переменные.
Существует множество способов, и некоторые из них вызывают беспокойство. Например, Computrace кажется постоянным бэкдором, который может обойти не только операционную систему, но даже BIOS. И в более общем плане Intel Management Engine имеет полный контроль над вашим компьютером и вполне может быть взломан. Они могут изменить ваш BIOS, но даже не обязательно. Только в 2017 году специалисты по безопасности выяснили, как использовать Intel IME через USB для запуска неподписанного кода.
Дело в том, что даже если у вас полностью безопасная операционная система и вы никогда не загружаете какое-либо небезопасное или вредоносное программное обеспечение, все равно существует немалая вероятность того, что на вас может повлиять вредоносное ПО, которое обходит все это, используя систему безопасности. уязвимость в вашем оборудовании (даже если ваш компьютер предположительно выключен).
Если злоумышленник получит достаточное разрешение для установки даже официальной микропрограммы UEFI, правильно подписанной производителем системы, он все равно потенциально может оставить компьютер в не загружаемом состоянии, принудительно выключив его в нужный момент во время процесса. .
Код обновления в современных прошивках обычно пытается свести к минимуму время, в течение которого компьютер находится в состоянии, когда сбой питания приведет к повреждению прошивки, а в некоторых прошивках даже есть режим восстановления, который активируется в таком случае.
Однако многие из этих систем не являются абсолютно надежными.Несмотря на то, что они обеспечивают хорошую защиту от случайных сбоев питания, своевременное отключение питания может привести к полной его неработоспособности, если прошивка не имеет надежной функции автоматического восстановления.
Кроме того, может даже не потребоваться атаковать основную прошивку системы. Практически каждое устройство в современном ПК имеет какую-либо прошивку, и многие из них можно обновить с помощью программного обеспечения. Эти устройства также часто менее безопасны. Они могут полностью принимать неподписанные прошивки или, по крайней мере, быть менее устойчивыми к злонамеренным отключениям питания в процессе обновления.
Если вы уничтожите прошивку на контроллере питания, контроллере хранения, устройстве хранения, видеоустройстве или контроллере ввода, система может стать такой же непригодной для использования, как если бы вы атаковали UEFI.
Одним из способов классификации компьютерных вирусов является их местонахождение. Большинство обычных вирусов находятся в файлах, доступных для операционной системы или с ее помощью. Некоторые вирусы находятся в главном загрузочном секторе жесткого диска и загружаются одновременно с операционной системой. Сложнее всего удалить вирусы BIOS, которые находятся в прошивке материнской платы.
Определение наличия вируса BIOS
Большинство программ для сканирования на вирусы не обнаруживают вирусы BIOS. Программное обеспечение для сканирования на вирусы проходит только через области жесткого диска, доступные для операционной системы. Многие могут сканировать сектора основной загрузочной записи жесткого диска. Никто, по состоянию на начало 2014 года, не сканирует BIOS. Единственный способ обнаружить вирус BIOS — методом проб, ошибок и дедукции. Если ваш компьютер ведет себя так, как будто присутствует вирус, но вы не можете обнаружить его на диске с помощью новейшего антивирусного программного обеспечения, возможно, он у вас есть. Получите загрузочный оптический диск (хорошим кандидатом является установочный диск Windows, но также подойдет и установочный диск Linux, который можно скачать и записать на диск бесплатно). Выключите компьютер. Отключите жесткий диск в корпусе, вставьте оптический диск и загрузитесь — если вирус прервется до того, как система загрузится с оптического носителя, у вас вирус BIOS. Если нет, значит, у вас вирус основной загрузочной записи.
Поведение вирусов BIOS
Большинство вирусов BIOS являются программами-вымогателями. Они заявят, что ваша система заражена, и направят вас на поддельный веб-сайт для удаления вирусов или пригрозят зашифровать ваш жесткий диск, если вы не предоставите какую-либо информацию. Относитесь к этим угрозам с уважением — программное обеспечение вашего компьютера можно заменить. Данные вашего компьютера - нет. BIOS и другие «прошивочные» вирусы также могут заражать устройства, которые вы в противном случае не ожидали бы, такие как маршрутизаторы или гарнитуры Bluetooth. Любое устройство, хранящее низкоуровневые инструкции по загрузке в постоянной памяти, потенциально подвержено риску.
Процедуры перед удалением
Во-первых, если ваши данные не заархивированы, сделайте это, прежде чем предпринимать какие-либо действия, которые могут привести к заражению вирусом. Создание полной резервной копии системы — это первый шаг к восстановлению после вирусной угрозы. Лучше сделать это раньше, чем позже. Существуют сервисы, такие как Carbonite или Mozy, которые могут делать это автоматически в Интернете, а также клонировать существующий жесткий диск на внешний диск.
Утилита восстановления BIOS
Вам потребуется доступ к незараженному компьютеру. Перейдите на веб-сайт производителя вашего компьютера и загрузите утилиту обновления BIOS для вашей марки и модели компьютера и запишите ее на НЕперезаписываемый компакт-диск. Эти утилиты обычно имеют загрузчик как часть процесса.
Перепрошивка BIOS
Отсоедините или извлеките жесткие диски из компьютера. Возможно, вам придется извлечь их из ноутбука, в зависимости от того, как он собран, особенно если твердотельный диск не находится в стандартном отсеке для дисков. Подключите оптический дисковод, вставьте в него диск с утилитой прошивки BIOS и включите компьютер. Когда появится экран, вы сможете выбрать порядок загрузки. Выберите опцию, позволяющую загружаться напрямую с компакт-диска, и перезагрузите систему. Это может занять некоторое время. После восстановления BIOS вам потребуется переформатировать жесткие диски, переустановить все и восстановить данные из резервных копий.
От вирусов BIOS чрезвычайно трудно избавиться, но, к счастью, они очень редки. Поскольку BIOS полностью отделен от жестких дисков компьютера, обычное программное обеспечение для сканирования на вирусы никогда не поймает вирус BIOS.
Контентидос
Может ли вирус спрятаться в BIOS?
Возможна запись вируса, скрывающегося в некоторых BIOS. Хорошая новость заключается в том, что вирусы BIOS встречаются крайне редко.
Может ли вирус изменить настройки BIOS?
Вирусы BIOS/UEFI (прошивки) существуют, но встречаются очень редко.Исследователи продемонстрировали в тестовой среде наличие концептуальных вирусов, способных модифицировать флэш-BIOS или устанавливать руткит в BIOS некоторых систем, чтобы он мог пережить переформатирование и повторно заразить чистый диск.
Есть ли вирусы BIOS?
Большинство вирусов BIOS являются программами-вымогателями. Они заявят, что ваша система заражена, и направят вас на поддельный веб-сайт для удаления вирусов или пригрозят зашифровать ваш жесткий диск, если вы не предоставите какую-либо информацию. Относитесь к этим угрозам с уважением — программное обеспечение вашего компьютера можно заменить.
Можно ли взломать биос?
В микросхемах BIOS, установленных на миллионах компьютеров, обнаружена уязвимость, которая может сделать пользователей уязвимыми для взлома. … Микросхемы BIOS используются для загрузки компьютера и загрузки операционной системы, но вредоносное ПО останется, даже если операционная система будет удалена и переустановлена.
Может ли вирус уничтожить материнскую плату?
Поскольку компьютерный вирус представляет собой всего лишь код, он не может физически повредить компьютерное оборудование. Однако это может привести к повреждению оборудования или оборудования, управляемого компьютерами. Например, вирус может заставить ваш компьютер отключить охлаждающие вентиляторы, что приведет к перегреву компьютера и повреждению его оборудования.
Где на вашем компьютере прячутся вирусы?
Вирусы могут быть замаскированы под вложения забавных изображений, поздравительных открыток или аудио- и видеофайлов. Компьютерные вирусы также распространяются через загрузки в Интернете. Они могут быть скрыты в пиратском программном обеспечении или в других файлах или программах, которые вы можете загрузить. Веб-сайт Microsoft PC Security.
Может ли Uefi заразиться вирусом?
Унифицированный расширяемый интерфейс встроенного ПО (UEFI) — это программное обеспечение, установленное на материнской плате вашего компьютера. … Итак, если вы хотите владеть системой и снизить вероятность того, что вас поймают, вредоносное ПО UEFI — это то, что вам нужно. Проблема в том, что очень сложно внедрить вредоносный код в системы UEFI.
Как узнать, поврежден ли мой BIOS?
Одним из наиболее очевидных признаков повреждения BIOS является отсутствие экрана POST. Экран POST – это экран состояния, отображаемый после включения компьютера и отображающий основную информацию об оборудовании, такую как тип и скорость процессора, объем установленной памяти и данные жесткого диска.
Может ли руткит заразить BIOS?
Руткит BIOS, вероятно, является наихудшей из возможных инфекций (кроме, может быть, виртуализированного руткита, но это совсем другой разговор). Скорее всего, даже полная очистка и переустановка Windows не сможет удалить руткит BIOS.
Может ли Рам заразиться вирусом?
Не говоря уже о том, что вирусы живут в оперативной памяти, но только тогда, когда в память загружается зараженная вирусом программа (например, из зараженного файла, хранящегося на вашем жестком диске) — но вирус перестает существовать внутри оперативной памяти. оперативной памяти при выключении компьютера.
Является ли обновление HP BIOS вирусом?
Это вирус? Вероятно, это обновление BIOS, отправленное через Центр обновления Windows. По умолчанию обновления BIOS можно отправлять через Центр обновления Windows.
Может ли вирус уничтожить жесткий диск?
Одного вируса недостаточно, чтобы физически сломать жесткий диск или полностью вывести его из строя до такой степени, что его нельзя будет восстановить. … Но дело в том, что хотя вирусы и могут уничтожить данные, хранящиеся на жестком диске, они не могут уничтожить само устройство.
Что значит, если ваш компьютер заблокирован?
Разблокировка – это когда электронное устройство становится непригодным для использования, часто из-за сбоя программного обеспечения или обновления встроенного ПО. Если ошибка обновления вызывает повреждение на уровне системы, устройство может не запускаться или вообще не работать. Другими словами, электронное устройство становится пресс-папье или «кирпичиком».
Можно ли исправить поврежденный BIOS?
Повреждение BIOS материнской платы может произойти по разным причинам. Наиболее распространенная причина, по которой это происходит, связана с неудачной прошивкой, если обновление BIOS было прервано. … После того, как вы сможете загрузить свою операционную систему, вы можете исправить поврежденный BIOS с помощью метода «горячей прошивки».
Почему хакеры взламывают?
Некоторые хакеры используют свои хакерские навыки, чтобы лично отомстить человеку или компании за реальную или предполагаемую несправедливость. Хакеры беспокоят своего врага разными способами, например: Блокируя устройства своих целей. Шифрование или удаление их данных.
Вирус – это тип вредоносного ПО, которое обычно либо крадет, либо уничтожает данные, но это не предел того, что авторы вирусов могут использовать в своих программах. Большинство вирусов живут там же, где и все остальные ваши файлы.
Однако два особо опасных типа вирусов поражают части компьютерной системы, которые обычно очень безопасны. Это вирусы загрузочного сектора и BIOS. Они оба относительно редки, но если ваша система заражена ими, избавиться от них может быть особенно сложно.
Кратко о BIOS
BIOS или базовая система ввода-вывода — это часть микропрограммы, которая находится в энергонезависимой памяти на материнской плате. Это встроенные программные инструкции, которые запускают и запускают ваш компьютер и позволяют операционной системе взаимодействовать с низкоуровневым оборудованием компьютера.
Сегодня в большинстве компьютеров используется преемник BIOS, называемый UEFI или Unified Extensible Firmware Interface. Большая разница между этими двумя типами прошивки материнской платы заключается в том, что UEFI хранит информацию о конфигурации на вашем жестком диске в виде файла, а не в самой прошивке. UEFI намного современнее, поддерживает большие размеры дисков и предлагает графический интерфейс, аналогичный Windows или Linux.
Вирусы, влияющие на BIOS, встречаются очень редко, но они существуют. Конечно, вирусы, которые были написаны для воздействия на устаревшую систему BIOS, сейчас не так уж важны, и долгое время не было реальных угроз для новой системы UEFI. Все изменилось с выходом вредоносного ПО для UEFI.
Похоже, что в наши дни большинство вредоносных программ UEFI представляют собой программы-вымогатели, но это не значит, что другие типы не могут существовать. Вредоносное ПО UEFI существует не так давно, поэтому только время покажет, что придумают его авторы.
Объяснение загрузочного сектора
Загрузочный сектор — это самая первая часть вашего загрузочного жесткого диска. Он содержит инструкции по запуску операционной системы компьютера. BIOS выполняет инструкции загрузочного сектора, и именно так компьютер подтягивается за счет собственных «загрузочных» ремней. Отсюда и термин "загрузка"!
Вирус загрузочного сектора перезаписывает код загрузочного сектора, поэтому BIOS также загружает вирус в память, обычно до загрузки операционной системы. Вот почему вирусы загрузочного сектора было сложно обнаружить в прошлом. Операционная система и любое программное обеспечение, работающее в этой операционной системе, может получить доступ к этим вирусам и сканировать их, предоставляя вредоносным программам доступ к вашему ПК.
Однако за прошедшие годы были разработаны различные контрмеры. Даже ранние IBM-совместимые машины тридцатилетней давности выдавали аварийный сигнал в BIOS, если какое-либо программное обеспечение пыталось изменить или перезаписать загрузочный сектор.
В наши дни у вас также могут быть варианты «безопасной загрузки» с материнскими платами UEFI, где код загрузочного сектора должен быть подписан цифровой подписью, иначе система откажется выполнять его.
Обнаружение вирусов в BIOS и загрузочном секторе
Основная причина, по которой эти два типа вирусов так неприятны, заключается просто в том, что их трудно обнаружить. Когда дело доходит до вирусов загрузочного сектора, хорошая новость заключается в том, что большинство хороших антивирусных пакетов теперь могут фактически сканировать загрузочный сектор на наличие вредоносного кода. Кроме того, вы можете загрузиться с внешнего диска и запустить оттуда антивирусное программное обеспечение, просто для уверенности.
С другой стороны, обнаружение вируса BIOS может быть не таким простым. Конечно, поскольку большинство существующих вирусов BIOS в настоящее время кажутся программами-вымогателями, вы обязательно заметите, что вирус возвращается сразу же после полной очистки вашего диска.
Однако, если это вирус с другой полезной нагрузкой, которая не столь очевидна, вы можете никогда не понять, что что-то не так, если вирус каким-то образом не повредит ваши данные. Если вы загружаетесь с портативной активной операционной системы и по-прежнему видите то же поведение или сообщение о программе-вымогателе, несмотря на то, что ни один из ваших обычных дисков не подключен, это также верный признак того, что ваш компьютер был скомпрометирован на низком уровне.
Удаление вирусов из BIOS и загрузочного сектора
Хорошая новость заключается в том, что удалить вирусы из загрузочного сектора довольно просто. Большинство хороших антивирусных пакетов в наши дни могут обнаруживать вирус загрузочного сектора. Возможно, он даже сможет удалить его без особых усилий.
Однако эти вирусы бывают разных вариантов, и для некоторых может потребоваться специальный инструмент для удаления, который вам, возможно, придется запускать после холодной перезагрузки компьютера с флэш-накопителя, чтобы предотвратить запуск кода загрузочного сектора. первое место. Почему холодная перезагрузка? Потому что при горячей перезагрузке вирус может остаться в оперативной памяти. В таких случаях никогда не помешает быть слишком осторожным.
Вредоносное ПО для BIOS — это совсем другое дело. Чтобы избавиться от них, обычно требуется перепрошивка материнской платы. Однако вам нужно сделать больше, чем просто загрузить утилиту обновления BIOS в Windows. Создание загрузочного диска только для чтения с программой восстановления BIOS на нем может быть единственным способом.Может быть, даже лучше просто заменить микросхему биоса в крайнем случае, отправить ее на замену и ремонт или вообще утилизировать материнскую плату. Рекомендуется профессиональная помощь.
Предотвращение проникновения вирусов в BIOS и загрузочный сектор
Конечно, было бы лучше, если бы вам с самого начала просто не приходилось иметь дело ни с одним из этих неприятных типов вирусов. Наиболее эффективный способ сделать это тот же, что и для любого типа вируса:
- Обновите антивирусный пакет
- Не скачивайте и не запускайте сомнительное ПО.
- Сканировать любые носители, которые вы подключаете к своему компьютеру.
- Не нажимайте на нежелательные ссылки
Поскольку эти вирусы трудно обнаружить другими способами, кроме как по косвенным признакам их присутствия, правильное обращение с компьютером, вероятно, является лучшим вариантом, который у вас есть.
Прошивка BIOS — это корень ваших электронных устройств, определяющий связь между аппаратным обеспечением компьютера и операционной системой в процессе загрузки. Это изолированный слой в большинстве устройств, и организации, в том числе Агентство национальной безопасности, сосредоточились на заражении встроенного ПО, поскольку оно не покрывается стандартными проверками на обнаружение вирусов. Новейший инструмент Google VirusTotal меняет это положение. В своем блоге инженер по безопасности VirusTotal Франсиско Сантос рассказывает об опасностях вредоносных программ для встроенного ПО и о том, как теперь компания может выявить этот вредоносный код.
«Поскольку BIOS загружает компьютер и помогает загрузить операционную систему, заражая его, злоумышленники могут использовать вредоносное ПО, которое выживает после перезагрузки, очистки системы и переустановки, а поскольку антивирусы не сканируют этот уровень, компрометация может остаться незамеченной. ", - пишет Сантос. «На сегодняшний день VirusTotal подробно характеризует образы прошивок, как законные, так и вредоносные».
Исследователи могут загружать вредоносное ПО в VirusTotal, чтобы узнать, какие антивирусные продукты обнаруживают вредоносный код. Помимо маркировки образов прошивки, новый инструмент может извлекать сертификаты из прошивки и ее исполняемых файлов, а также извлекать переносимые исполняемые файлы внутри образа. По словам Сантоса, PE – это известный источник вредоносного ПО.
"Вероятно, наиболее интересным является извлечение переносимых исполняемых файлов UEFI, из которых состоит образ, поскольку именно исполняемый код потенциально может быть источником вредоносного ПО", – пишет Сантос. «Эти исполняемые файлы извлекаются и отправляются в VirusTotal по отдельности, так что пользователь может в конечном итоге увидеть отчет для каждого из них и, возможно, получить представление о том, есть ли что-то подозрительное в их образе BIOS».
По словам Сантоса, «следующим интересным шагом» для инструмента прошивки VirusTotal является возможность загружать вашу собственную прошивку BIOS в службу сканирования.
Все продукты, рекомендованные Engadget, выбираются нашей редакционной группой независимо от нашей материнской компании. Некоторые из наших историй содержат партнерские ссылки. Если вы купите что-то по одной из этих ссылок, мы можем получить партнерскую комиссию.
Читайте также: