PCEVA,PC绝对领域,探寻真正的电脑知识
开启左侧

比CIH更恐怖的UEFI病毒降临

[复制链接]
绝对有料 发表于 2019-1-4 15:50 | 显示全部楼层 |阅读模式
点击数:1823|回复数:24
本帖最后由 绝对有料 于 2019-1-4 15:54 编辑

80后应该对CIH病毒还有印象,在1998年爆发的CIH是首个能够破坏计算机硬件的病毒,它的破坏目标除了硬盘数据还有主板BIOS固件。时光荏苒,当代计算机病毒已经从炫技和单纯的破坏转向盗窃和勒索。最近针对UEFI BIOS固件的病毒出现抬头趋势,这类病毒一旦感染很难清除!
image1.jpeg


UEFI相比传统BIOS能够提供更多的先进功能,强大的功能和可扩展性也给病毒带来了活跃的舞台。这次病毒的目标不再是破坏BIOS程序,而是侵入其中BIOS程序所在的SPI闪存,每次开机先于操作系统加载,让杀毒软件也对其无可奈何。

image2.jpeg


最近被发现的UEFI rootkit病毒被ESET的恶意软件研究人员命名为LoJax。有意思的是,该病毒是从合法的LoJack软件修改而来。

image3.jpeg

LoJack是一个帮助用户找回被盗电脑的底层软件服务,它内置于电脑UEFI BIOS当中,能够隐蔽地追踪被盗电脑设备的位置,并且能够远程锁定或抹除硬盘数据(类似于iPhone等手机的丢失模式)。即便盗窃者更换新硬盘,内置于UEFI BIOS空间内的LoJack依然会抢先于操作系统启动,使其无法脱离控制。
image4.jpeg


这样强大的功能自然很容易被恶意利用,多数安全软件都只能扫描文件和内存空间,对于固件级的恶意代码很难监测。

image5.jpg


CIH病毒因作者陈盈豪发布解毒程序以及Windows 98系统的过时而平息。现在,UEFI BIOS给人带来便利的同时也滋生了新的病毒温床。除了刷新覆盖BIOS芯片内被感染的部分,或者直接更换BIOS芯片之外,很难彻底清除这些病毒。取得立足之地的病毒所能造成的破坏,恐怕不是我们能够轻易想象的。

overthink 发表于 2019-1-4 16:09 | 显示全部楼层
可怕,  这病毒咋拿到写入UEFI的权限的。
rockwars 发表于 2019-1-4 16:58 | 显示全部楼层
那是不是重刷bios就能解决问题了呢?
ourzn 发表于 2019-1-4 19:24 | 显示全部楼层
有8脚 16脚编程器不怕不怕拉..直接覆盖即可
copyleft2000 发表于 2019-1-4 19:31 | 显示全部楼层
rockwars 发表于 2019-1-4 16:58
那是不是重刷bios就能解决问题了呢?

真是病毒,可能会封bios内部刷新版本的接口
来自苹果客户端来自苹果客户端
DoctorX99 发表于 2019-1-4 19:39 | 显示全部楼层
rockwars 发表于 2019-1-4 16:58
那是不是重刷bios就能解决问题了呢?

不一定,有些区域不刷新的,例如ASUS的某些板子,我加入了SLIC,后来刷新新BIOS的时候SLIC还在
来自安卓客户端来自安卓客户端
武英仲 发表于 2019-1-4 19:59 | 显示全部楼层
Intel不是有ME吗,怕什么,关机状态ME都一直在运行
杀个毒不是小CASE
wakin20 发表于 2019-1-4 20:59 | 显示全部楼层
ourzn 发表于 2019-1-4 19:24
有8脚 16脚编程器不怕不怕拉..直接覆盖即可

编程器也得先开电脑才能用吧?

tualatin 发表于 2019-1-4 22:25 | 显示全部楼层
编程器可以用来杀毒
来自苹果客户端来自苹果客户端
ourzn 发表于 2019-1-4 22:30 | 显示全部楼层
wakin20 发表于 2019-1-4 20:59
编程器也得先开电脑才能用吧?

有离线编程器.比较贵一般都是USB编程器 找台别的机器刷.再说你正在运行机器你能刷固件?不可以的.这是常识!
houshuheng 发表于 2019-1-5 01:28 | 显示全部楼层
这样的话 双BIOS 1个BIOS不可写入 不能升级 只能出厂的时候厂商写入好 只能用于恢复备份
frontwing 发表于 2019-1-5 08:57 | 显示全部楼层
HP的商用机很早就开始注意这个问题,现在都支持SureStart,bios签名&加密+运行时自校验,检测到篡改可以自动回刷。
temp2009 发表于 2019-1-5 10:22 | 显示全部楼层
硬件跳线屏蔽 写入SPI的针脚
gloobox 发表于 2019-1-5 11:42 | 显示全部楼层
frontwing 发表于 2019-1-5 08:57
HP的商用机很早就开始注意这个问题,现在都支持SureStart,bios签名&加密+运行时自校验,检测到篡改可以自 ...

反正hp的机器,我觉得必须用编程器才可以刷修改的bios。其他方式各种无效写入保护什么的。
来自安卓客户端来自安卓客户端
topsky 发表于 2019-1-5 18:52 | 显示全部楼层
每次开机,自校验一次,发现异常就自动恢复
来自苹果客户端来自苹果客户端
wakin20 发表于 2019-1-5 20:11 | 显示全部楼层
ourzn 发表于 2019-1-4 22:30
有离线编程器.比较贵一般都是USB编程器 找台别的机器刷.再说你正在运行机器你能刷固件?不可以的.这是常识 ...

在win下刷uefi是什么原理?这不是机器正在运行是刷固件吗?
ourzn 发表于 2019-1-5 21:28 | 显示全部楼层
wakin20 发表于 2019-1-5 20:11
在win下刷uefi是什么原理?这不是机器正在运行是刷固件吗?

你在WIN在怎么刷按照楼主介绍病毒还是清除不了的!
编程器 可以救机 win和主板自带bios更新刷挂了就完蛋最大区别
读写 EEPROM FLASH 25 一般主板用储存器.
读写按照0和1覆盖写入在顽强病毒也可以清除.

pphiuyt 发表于 2019-1-6 00:08 | 显示全部楼层
ourzn 发表于 2019-1-4 19:24
有8脚 16脚编程器不怕不怕拉..直接覆盖即可

那种单一焊到主板的bios 只能拆焊刷?
cssniper 发表于 2019-1-6 00:22 | 显示全部楼层
legacy启动有影响吗
ourzn 发表于 2019-1-6 00:52 | 显示全部楼层
pphiuyt 发表于 2019-1-6 00:08
那种单一焊到主板的bios 只能拆焊刷?

有测试架夹住 具体看样子淘宝找吧
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部