楼主: 一只柠萌鲸呀
收起左侧

[讨论] 此恶意软件会感染您的主板,几乎不可能删除

  [复制链接]
00006666
发表于 2022-7-27 15:42:21 | 显示全部楼层
本帖最后由 00006666 于 2022-7-27 15:44 编辑
wowocock 发表于 2022-7-27 15:37
“卡巴斯基产品将检测到这种威胁并阻止它正确执行,使其无害 - 但我不确定我们是否可以执行固件杀毒,因 ...

不过强力模式驱动应该也不能一直留在用户电脑不卸载吧……… ,不知道急救箱能不能做到直接清除这类固件中的木马,或者是检测到固件木马提示用户采取重刷BIOS等措施。

对付这类固件木马可能还是得提示用户联系人工处理,然后客服指导刷BIOS比较合适
wowocock
发表于 2022-7-27 15:46:30 | 显示全部楼层
00006666 发表于 2022-7-27 15:42
不过强力模式驱动应该也不能一直留在用户电脑不卸载吧……… ,不知道急救箱能不能做到清除这类固件中的 ...

以前在最早的我发现的传统BIOS 木马,BMW,当时还在32位下,写过类似的BIOS检测恢复工具。不过UEFI BIOS的恢复更麻烦,而且相关资料都没,而且中毒才用户才发现一个,导致没去研究了,现在360这边就我一个人处理BOOTKIT,ROOTKIT,实在是捉襟见肘。

评分

参与人数 2人气 +6 收起 理由
00006666 + 3
pal家族 + 3 感谢支持,欢迎常来: )

查看全部评分

ANY.LNK
发表于 2022-7-27 15:48:34 | 显示全部楼层
wowocock 发表于 2022-7-27 15:33
前几天还说了,火绒客服远程2小时没解决,当时为了这用户我们整了一天都没搞定。后来让用户把主板寄过来 ...

暗云可以通过Mykings僵尸网络分发,这种UEFI BOOTKIT是否也存在此种可能?
ANY.LNK
发表于 2022-7-27 15:51:16 | 显示全部楼层
wowocock 发表于 2022-7-27 15:37
“卡巴斯基产品将检测到这种威胁并阻止它正确执行,使其无害 - 但我不确定我们是否可以执行固件杀毒,因 ...

微软方面的回复是类似的:

“Microsoft Defender 防病毒可以检测此类威胁,但无法自动修复,因为这可能造成无法弥补的损失”
wowocock
发表于 2022-7-27 15:51:29 | 显示全部楼层
ANY.LNK 发表于 2022-7-27 15:48
暗云可以通过Mykings僵尸网络分发,这种UEFI BOOTKIT是否也存在此种可能?

关键是一直没找到用户主板是如何被写入的。如果找到感染源就好办了。不过看来卡巴也没找到。
thomaxnet
发表于 2022-7-27 15:54:34 | 显示全部楼层
还好还好,幸亏我的主板比H81还早
hackerbob
发表于 2022-7-28 07:56:13 | 显示全部楼层
huangzihang 发表于 2022-7-27 09:44

127.0.0.1 erda158.top
127.0.0.1 bokts.com

你个大聪明。。。。。。。。
wwwab
发表于 2022-7-28 07:58:18 | 显示全部楼层
受害者

我们能够识别中国、越南、伊朗和俄罗斯CosmicStrand的受害者。一个有趣的是,我们用户群中的所有受害者似乎都是私人(即使用我们产品的免费版本),我们无法将他们与任何组织甚至垂直行业联系起来。
Victims

We were able to identify victims of CosmicStrand in China, Vietnam, Iran and Russia. A point of interest is that all the victims in our user base appear to be private individuals (i.e., using the free version of our product) and we were unable to tie them to any organization or even industry vertical.
卡巴:中招的都是免费版卡巴斯基
东极熊猫
发表于 2022-7-28 08:22:36 | 显示全部楼层
wwwab 发表于 2022-7-28 07:58
卡巴:中招的都是免费版卡巴斯基

卡巴斯基:为了大家的电脑安全,是时候取消卡巴斯基免费版了。。
你开心就好
发表于 2022-7-28 09:08:10 | 显示全部楼层
wowocock 发表于 2022-7-27 15:25
当时只发现了一例,所以没继续深入了。固件这种东西,硬件依赖性太大。整不好变砖了,所以一般也不敢动。 ...

不会吧 这种高级木马还能变多?一般人基本不会中招哎 中招某个组织的APT就要死要活了 感觉自己被监控 电脑手机路由器更换了一个遍 还不放心
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-14 20:59 , Processed in 0.107236 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表