此恶意软件会感染您的主板，几乎不可能删除

huangzihang

ANY.LNK 发表于 2022-7-27 14:54
网址白名单对拦截恶意软件是个不错的方法，但多数人没有那个条件，他们所要用的正常网址也有可能会被拦截

所以只有在泉州试点，大部分地方都没有这个条件。
但是对于某种地区突发的大规模的APT攻击不失为一个很好的应急策略
类似电信诈骗重灾区的浙江自动拦截境外电话

Argel

奇虎在2017年就发现这个病毒了？

ANY.LNK

Argel 发表于 2022-7-27 14:58
奇虎在2017年就发现这个病毒了？

360称之为“谍影”
https://bbs.360.cn/thread-14959110-1-1.html

Argel

ANY.LNK 发表于 2022-7-27 15:03
360称之为“谍影”
https://bbs.360.cn/thread-14959110-1-1.html

那我不买二手主板就不会中这种病毒了

00006666

@wowocock 话说急救箱能不能检测到系统中存在这类的固件木马，提示用户采取措施查杀？

ANY.LNK

Argel 发表于 2022-7-27 15:10
那我不买二手主板就不会中这种病毒了

也许吧，但不排除该恶意软件在这些年里改进的可能

wowocock

00006666 发表于 2022-7-27 15:12
@wowocock 话说急救箱能不能检测到系统中存在这类的固件木马，提示用户采取措施查杀？

当时只发现了一例，所以没继续深入了。固件这种东西，硬件依赖性太大。整不好变砖了，所以一般也不敢动。能检测，处理不了，反而容易被骂，让用户去刷BIOS，难度更大。不过如果以后中招用户多了，也许会考虑处理。

wowocock

ANY.LNK 发表于 2022-7-27 15:18
也许吧，但不排除该恶意软件在这些年里改进的可能

前几天还说了，火绒客服远程2小时没解决，当时为了这用户我们整了一天都没搞定。后来让用户把主板寄过来，仔细分析了BIOS才发现，隐藏很深的木马代码。其原理和暗云3代码相似度90%以上，区别在于他是在BIOS里挂钩INT15H,而暗云3是在MBR里挂接INT15H，后续基本一样，所以可以肯定是暗云木马集团干的。

疯疯妖怪

wowocock 发表于 2022-7-27 15:33
前几天还说了，火绒客服远程2小时没解决，当时为了这用户我们整了一天都没搞定。后来让用户把主板寄过来 ...

这么高级的木马闻所未闻。

wowocock

00006666 发表于 2022-7-27 15:12
@wowocock 话说急救箱能不能检测到系统中存在这类的固件木马，提示用户采取措施查杀？

“卡巴斯基产品将检测到这种威胁并阻止它正确执行，使其无害 - 但我不确定我们是否可以执行固件杀毒，因为存在损坏用户电脑的风险，”公司恶意软件分析师Ivan Kwiatkowski告诉我们。

急救箱的强力模式驱动，当年就包含类似功能了，只要我们驱动不卸载，则该BIOS木马，不起作用。