查看: 4827|回复: 66
收起左侧

[讨论] 此恶意软件会感染您的主板,几乎不可能删除

  [复制链接]
一只柠萌鲸呀
发表于 2022-7-27 09:29:29 | 显示全部楼层 |阅读模式
据防病毒供应商卡巴斯基称,一种能够在重新安装操作系统中幸存下来的恶意软件一直在秘密渗透华硕和技嘉的旧主板。

根据防病毒供应商卡巴斯基的说法,该恶意软件被发现针对较旧的H81主板,并且似乎至少自2016年以来一直存在。

这种被称为CosmicStrand的恶意软件旨在感染主板的UEFI(统一可扩展固件接口),以便它可以保留在Windows计算机上,即使存储驱动器被删除也是如此。

周一,卡巴斯基表示,它发现了在中国,越南,伊朗和俄罗斯的Windows计算机上流传的CosmicStrand。所有受害者都在使用卡巴斯基的免费防病毒软件,他们很可能是个人。



CosmicStrand的受害者分布图。(卡巴斯基)

公司的调查发现CosmicStrand位于使用H81型芯片组,最初于2013年推出,但后来停产。

通过感染主板的UEFI,CosmicStrand可以在PC启动时立即执行恶意进程。这可能导致计算机从黑客控制的服务器中检索恶意组件并将其安装在 Windows 操作系统中。

“不幸的是,我们无法获得来自C2(命令和控制)服务器的数据副本,”卡巴斯基说。但该公司确实找到了CosmicStrand制造商试图远程劫持受感染机器的证据。

卡巴斯基也不确定CosmicStrand是如何最终出现在受害者的电脑上的。但它可能是通过系统上已经存在的另一种恶意软件到达的,或者通过黑客获得对硬件的物理访问权限。

“通过查看我们能够获得的各种固件映像,我们评估了修改可能是使用自动修补器进行的。如果是这样,那么攻击者就可以事先访问受害者的计算机,以便提取,修改和覆盖主板的固件,“卡巴斯基补充道。

CosmicStrand并不是第一个基于UEFI的恶意软件,多年来,防病毒行业已经发现了其他几种。然而,CosmicStrand似乎已经潜伏在雷达下好几年了。卡巴斯基的调查发现,恶意软件的一个样本正在与黑客控制的服务器进行通信,该服务器于2016年12月首次出现。另一个样本在2020年被发现与一个单独的黑客控制的服务器进行通信。



恶意软件示例与之通信的服务器。(卡巴斯基)

此外,卡巴斯基指出,中国反病毒软件厂商奇虎360也发现CosmicStrand的早期变体是在2017年,影响了华硕B85M主板。

“奇虎的初步报告显示,买家在向二手经销商下订单后可能收到了后门主板。我们无法确认这些信息,“卡巴斯基补充道。

“卡巴斯基产品将检测到这种威胁并阻止它正确执行,使其无害 - 但我不确定我们是否可以执行固件杀毒,因为存在损坏用户电脑的风险,”公司恶意软件分析师Ivan Kwiatkowski告诉我们。

“永久消除感染的唯一方法是重新刷新主板的固件,这是一个可以通过BIOS(仅限高级用户)或使用硬件供应商提供的实用程序执行的精细操作,”他补充说。“消除这种感染的替代(硬核)方法是更换计算机的主板,然后重新安装Windows。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
huangzihang
发表于 2022-7-27 09:44:38 | 显示全部楼层

127.0.0.1 erda158.top
127.0.0.1 bokts.com
fzp070
发表于 2022-7-27 14:30:24 | 显示全部楼层
huangzihang 发表于 2022-7-27 09:44

127.0.0.1 erda158.top
127.0.0.1 bokts.com

意思是这两个网址屏蔽就好了吗?不懂求问
huangzihang
发表于 2022-7-27 14:35:04 | 显示全部楼层
fzp070 发表于 2022-7-27 14:30
意思是这两个网址屏蔽就好了吗?不懂求问

对付有些后门确实可以这样,防火墙很重要
fzp070
发表于 2022-7-27 14:36:03 | 显示全部楼层
huangzihang 发表于 2022-7-27 14:35
对付有些后门确实可以这样,防火墙很重要

好的,感谢解答!
ANY.LNK
发表于 2022-7-27 14:38:30 | 显示全部楼层
huangzihang 发表于 2022-7-27 14:35
对付有些后门确实可以这样,防火墙很重要

嗯,这两个域名都挂了
但是像这种进了内核的东西一般有能力规避防火墙之类的拦截,hosts也有可能不顶用
huangzihang
发表于 2022-7-27 14:44:58 | 显示全部楼层
ANY.LNK 发表于 2022-7-27 14:38
嗯,这两个域名都挂了
但是像这种进了内核的东西一般有能力规避防火墙之类的拦截,hosts也有可能不顶用

硬件墙+软路由,不过麻烦。不过服务器如果在境外的话啥都不用做了,交给几大运营商解决了就行
ANY.LNK
发表于 2022-7-27 14:49:24 | 显示全部楼层
huangzihang 发表于 2022-7-27 14:44
硬件墙+软路由,不过麻烦。不过服务器如果在境外的话啥都不用做了,交给几大运营商解决了就行

运营商停止对此域名的解析或者省间运营商拦截也可以(对国内服务器也有效)
huangzihang
发表于 2022-7-27 14:50:42 | 显示全部楼层
本帖最后由 huangzihang 于 2022-7-27 14:52 编辑
ANY.LNK 发表于 2022-7-27 14:49
运营商停止对此域名的解析或者省间运营商拦截也可以(对国内服务器也有效)

这玩意在泉州跑不起来,因为网址采取白名单制,所以我习惯用泉州ip,任何后门在我电脑上跑不起来,直接实体机双击
国内服务器的话还要运营商解决吗,直接收网(
ANY.LNK
发表于 2022-7-27 14:54:44 | 显示全部楼层
huangzihang 发表于 2022-7-27 14:50
这玩意在泉州跑不起来,因为网址采取白名单制,所以我习惯用泉州ip,任何后门在我电脑上跑不起来,直接实 ...

网址白名单对拦截恶意软件是个不错的方法,但多数人没有那个条件,他们所要用的正常网址也有可能会被拦截
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-13 02:17 , Processed in 0.142725 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表