MoonBounce — новый вирус, поражающий прошивку UEFI

Зараженный вирусом компьютер можно вылечить, тщательно просканировав содержимое всех системных разделов, включая область жесткого диска, содержащую главную загрузочную запись. В крайнем случае диск можно отформатировать, уничтожив не только файлы, но и таблицу разделов. Однако существуют вирусы, способные выжить даже после полного форматирования диска. Это может показаться невероятным и так оно и есть.

Потому что новый вирус, обнаруженный весной 2021 года и получивший название MoonBounce, поражает не саму Windows, а прошивку UEFI.

Мишенью этого необычного буткита является микросхема памяти SPI, содержащая служебное программное обеспечение, обеспечивающее запуск компьютера и передачу управления им операционной системе. Проникнув на компьютер, MoonBounce при включении последнего перехватывает ряд функций в таблице служб загрузки EFI и перенаправляет их во вредоносный код, который в свою очередь создает хуки в загрузчике операционной системе. Модифицировав загрузчик, вредонос проникает в адресное пространство ядра Windows, внедряя в него свой драйвер, который затем заражает процесс svchost.exe в пользовательском режиме.

Примечание: каким образом MoonBounce попадает на компьютер пока что точно неизвестно, предполагается, что заражение происходит через удаленный доступ к целевому компьютеру.

Получив таким образом контроль над операционной системой, MoonBounce обращается к удаленному серверу, запрашивая дальнейшие инструкции, которые могут носить самый разный характер. Вирус может использоваться для слежения за пользователем, сбора конфиденциальной информации, вторичного заражения системы другим вредоносным программным обеспечением и так далее. При этом вирус действует как руткит, он не обнаруживается сканированием дискового пространства антивирусными программами, поскольку действует в оперативной памяти, не оставляя следов в файловой системе.

MoonBounce UEFI

Цели хакерской группировки

Согласно отчетам компании «Лаборатория Касперского», MoonBounce был создан хакерской группой под названием APT41, следы которой ведут в Китай. В тех же отчетах указывается, что установленными на момент исследования целями создавших вирус злоумышленников является шпионаж и похищение с отдельных компьютеров конфиденциальной информации — персональных данных и интеллектуальной собственности.

Как защититься от MoonBounce

На данный момент вероятность заражения MoonBounce крайне мала, так как новый вирус не является сколь-либо распространенным. Нацелен вредонос прежде всего на корпоративные компьютеры, случаи заражения пользовательских компьютеров пока что не установлены. Что касается защиты от MoonBounce, здесь специалисты «Лаборатории Касперского» рекомендуют включить безопасную загрузку и использовать пароль для доступа к UEFI. Это предотвратит инъекцию вредоносного кода в ПО UEFI и несанкционированное обновление прошивки. Если же компьютер уже оказался зараженным MoonBounce или подобным ему поражающим UEFI буткитом, единственным способом удалить вредонос с компьютера будет перепрошивка микросхемы памяти SPI.

Оцените Статью:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (2 оценок, среднее: 5,00 из 5)
Загрузка...
Как обновить прошивку роутера D-Link

Регулярное обновление программного обеспечения роутера не является обязательным требованием, маршрутизатор может работать на базе ПО ...

Как перепрошить БИОС с флешки

Очень часто наступает момент, когда материнская плата нуждается в перепрошивке БИОС. Необходимость появляется после выхода ...

Как быстро загрузить Windows 10 в меню расширенной загрузки или в BIOS UEFI

Если компьютер работает неправильно, но всё еще нормально загружается, вы можете зайти в меню расширенной ...

Что делать, если на современном компьютере с UEFI доступна только схема питания «Сбалансированная»

По умолчанию раздел управления электропитанием в Windows включает в себя три основных схемы питания — ...

Добавить комментарий

Ваш адрес email не будет опубликован.