SPREMITE SE ZA NAJOPASNIJE VIRUSE KOJE STE IKADA VIDELI: Ako se zarazite ne pomaže ni zamena hard diska | Smartlife RS

Ukucajte željeni termin u pretragu i pritisnite ENTER

SPREMITE SE ZA NAJOPASNIJE VIRUSE KOJE STE IKADA VIDELI: Ako se zarazite ne pomaže ni zamena hard diska

Bezbednosni eksperti kompanije Kaspersky izdali su saopštenje u kojem se navodi da su otkrili jako opasan bootkit virus koji inficira UEFI firmver računara.

Ono što čini novi virus, nazvan MoonBounce veoma opasnim je činjenica da se ovaj maliciozni softver ne ponaša kao drugi, slični virusi. Naime bootkit je specijalna vrsta malicioznog programa dizajnirana tako da se ubaci u najraniji mogući korak podizanja sistema kako bi kontrolisao sve etape startovanja OS-a.

Možda će vas zanimati

MoonBounce se ne krije u sekciji sistemskog drajva koja se zove ESP (EFI System Partition), gde se nalazi UEFI kod, već inficira integrisanu SPI fleš memoriju na samoj matičnoj ploči. Ovo znači da, za razliku od klasičnih bootkit virusa, ukoliko ste zaraženi neće vam pomoći ni da reinstalirate sistem, a ni da fizički zamenite hard disk ili SSD, jer virus ostaje u SPI memoriji ploče.

 Plan MoonBounce napada
Plan MoonBounce napada
Izvor: SmartLife / Kaspersky

Jedini način uklanjanja ove pošasti je ponovo flešovanje ove memorije (veoma kompleksan proces) ili zamena cele matične ploče, što u slučaju laptopa znači kupovina novog.

Evolucija bootkit malvera

Kaspersky navodi da je MoonBounce treći UEFI bootkit koji su oni dosad videli, a koji ima sposobnost da inficira i obitava u SPI memoriji matične ploče. Štaviše, navodi se da su istraživači pronašli još nekoliko UEFI bootkit virusa u poslednjih nekoliko meseci, što znači da su se napadači potpuno navikli na zamenu BIOS-a UEFI sekcijom i maksimalno koriste sve njene potencijalne slabosti.

MoonBounce povezan sa kineskom APT41 grupom hakera

MoonBounce se koristi da omogući pristup inficiranom računaru i pokrene sekundarni maliciozni softver koji ima mogućnosti da manipuliše većinom parametara računara - od podataka do kontrole pojedinačnih komponenata kako hardverskih, tako i operativnog sistema.

Možda će vas zanimati

Kaspersky navodi da je MoonBounce za sad detektovan samo jednom, na mreži kompanije koja se bavi transportom, te da se pretpostavlja da je u pitanju delo APT41 grupe zbog ostalih virusa koji su bili deo istog napada. Inače, APT41 je grupa sajber hakera, za koje se veruje da koji često obaljaju poslove za kinesku vladu.

Evolucija Bootkit malvera
Izvor: YouTube / Virus Bulletin

MoonBounce i drugi malveri koji su pronađeni tokom napada na ovu mrežu komunicirali su sa istom serverskom infrastrukturom sa koje su dolazile instrukcije od APT41 grupe poznatije.

Misteriozna infekcija

Ono što ostaje nepoznanica je kako je bootkit inicijalno instaliran na mrežu. Kao bezbednosna mreža protiv ovih virusa, koji će izgleda biti sve češće pretnje za mreže i računare Kaspersky eksperti predlažu regularno ažuriranje EUFI firmvera i aktiviranje BootGuard opcije. Pored toga, aktivacija famoznog TPM modula, jednog od preduslova za instalaciju Windows 11 operativnog sistema je preporučljiva, ukoliko je hardverski prisutan na mašini.

Postanite deo SMARTLIFE zajednice na Viberu.

Možda će vas zanimati

Najnovije

Uređaji

Testovi

…

Komentari 5

Vaš komentar je prosleđen moderatorskom timu i biće vidljiv nakon odobrenja.

Slanje komentara nije uspelo.

Nevalidna CAPTCHA

Tommy Gavin

Deveta godina kako koristim samo GNU/Linux. Virusa ni na horizontu... Oslobodite um.

Macola

@Tommy Gavin I ja (MacBook)

Bojan

Ja mislim da je ovo neka prevara. Stari BIOS ili novi UEFI mora biti read-only, bas iz ovih razloga. A, i ako nije, na se prvi sektor na disku, odakle pocinje boot i vrlo ga je tesko izmanipulisati, jer se u tom slucaju svaki sektor mora pomerati za broj novih bitova. Vrlo kompleksna stvar. Moze da se izmanipulise, ali ne moze dok sistem radi. Mislim da ovo nije slucaj kako je opisano. Kad napisem da se uci assembker, ljudi se smeju, ali ove stvari, jedino sa assemblerom mozete da radite. Ko se sad zadnji smeje? ;-)