此恶意软件会感染您的主板，几乎不可能删除

00006666

wowocock 发表于 2022-7-27 15:37
“卡巴斯基产品将检测到这种威胁并阻止它正确执行，使其无害 - 但我不确定我们是否可以执行固件杀毒，因 ...

不过强力模式驱动应该也不能一直留在用户电脑不卸载吧……… ，不知道急救箱能不能做到直接清除这类固件中的木马，或者是检测到固件木马提示用户采取重刷BIOS等措施。

对付这类固件木马可能还是得提示用户联系人工处理，然后客服指导刷BIOS比较合适

wowocock

00006666 发表于 2022-7-27 15:42
不过强力模式驱动应该也不能一直留在用户电脑不卸载吧……… ，不知道急救箱能不能做到清除这类固件中的 ...

以前在最早的我发现的传统BIOS 木马，BMW，当时还在32位下，写过类似的BIOS检测恢复工具。不过UEFI BIOS的恢复更麻烦，而且相关资料都没，而且中毒才用户才发现一个，导致没去研究了，现在360这边就我一个人处理BOOTKIT,ROOTKIT,实在是捉襟见肘。

ANY.LNK

wowocock 发表于 2022-7-27 15:33
前几天还说了，火绒客服远程2小时没解决，当时为了这用户我们整了一天都没搞定。后来让用户把主板寄过来 ...

暗云可以通过Mykings僵尸网络分发，这种UEFI BOOTKIT是否也存在此种可能？

ANY.LNK

wowocock 发表于 2022-7-27 15:37
“卡巴斯基产品将检测到这种威胁并阻止它正确执行，使其无害 - 但我不确定我们是否可以执行固件杀毒，因 ...

微软方面的回复是类似的：

“Microsoft Defender 防病毒可以检测此类威胁，但无法自动修复，因为这可能造成无法弥补的损失”

wowocock

ANY.LNK 发表于 2022-7-27 15:48
暗云可以通过Mykings僵尸网络分发，这种UEFI BOOTKIT是否也存在此种可能？

关键是一直没找到用户主板是如何被写入的。如果找到感染源就好办了。不过看来卡巴也没找到。

thomaxnet

还好还好，幸亏我的主板比H81还早

hackerbob

huangzihang 发表于 2022-7-27 09:44
好
127.0.0.1 erda158.top
127.0.0.1 bokts.com

你个大聪明。。。。。。。。

wwwab

受害者

我们能够识别中国、越南、伊朗和俄罗斯CosmicStrand的受害者。一个有趣的是，我们用户群中的所有受害者似乎都是私人（即使用我们产品的免费版本），我们无法将他们与任何组织甚至垂直行业联系起来。

Victims

We were able to identify victims of CosmicStrand in China, Vietnam, Iran and Russia. A point of interest is that all the victims in our user base appear to be private individuals (i.e., using the free version of our product) and we were unable to tie them to any organization or even industry vertical.

卡巴：中招的都是免费版卡巴斯基

东极熊猫

wwwab 发表于 2022-7-28 07:58
卡巴：中招的都是免费版卡巴斯基

卡巴斯基：为了大家的电脑安全，是时候取消卡巴斯基免费版了。。

你开心就好

wowocock 发表于 2022-7-27 15:25
当时只发现了一例，所以没继续深入了。固件这种东西，硬件依赖性太大。整不好变砖了，所以一般也不敢动。 ...

不会吧 这种高级木马还能变多？一般人基本不会中招哎 中招某个组织的APT就要死要活了 感觉自己被监控 电脑手机路由器更换了一个遍 还不放心