Новый вирус остаётся в компьютере даже после замены жёстких дисков и SSD Не защищает от него и привычный антивирус
Аноним26/01/22 Срд 17:59:23№114437521
0
5
Группа исследователей по кибербезопасности выявили новый вредонос MoonBounce. Его отличительной особенностью оказались сложность и способность работать на уровне прошивки UEFI.
Выявили MoonBounce специалисты «Лаборатории Касперского». Более того, они уже успели подготовить отчёт о кампаниях, в которых зловред фигурирует.
Стоит отметить, что в случае, если злоумышленник поместит «UEFI-буткит» в прошивку, то вирус будет полностью защищён от антивирусов, работающих на уровне операционной системы. Более того, от него не сможет защитить замена накопителя, т.к. весь код хранится в памяти материнской платы.
Эксперты считают, что оператором вируса является китайская кибергруппировка APT41 (Winnti). Она уже попадалась на глаза специалистов ранее — по последним данным, группа действует как минимум на протяжении последних 10 лет.
>>11443822 Кстати да. Хотелось бы снова видеть нормальный человеческий интерфейс AMI BIOS вместо той школопоеботы которую сейчас зашивают без возможности отключения.
>>11443752 (OP) давно пора, а то что это такое, 21 век на дворе, а они всё по старинке на жёсткий диск вирусы грузят. заменил диск и вирусу пизда, кому из хакеров такие вирусы нужны?
>>11443752 (OP) >весь код хранится в памяти материнской платы. > откуда в материнке память, если даже время и настройки биоса не помнит, таблетку надо вставлять
>>11444104 >откуда в материнке память, если даже время и настройки биоса не помнит, таблетку надо вставлять Как минимум, БИОС-микруха, которая хранит всю хрень, для инициализации загрузки.
>>11443752 (OP) > если злоумышленник поместит «UEFI-буткит» в прошивку, то вирус будет полностью защищён от антивирусов, работающих на уровне операционной системы. Более того, от него не сможет защитить замена накопителя, т.к. весь код хранится в памяти материнской платы.
Я помню лекцию интелохвода-погромизда вселенной ынтел, который грил, как заебумба сделать ЕФИ, которая НЕ ДАСТ ПОДОБНОМУ СЛУЧИТЬСЯ. А тут хацкеры аж на заводе могут втыкать свой код в микрухи. Могут заливать в дупу при обновлении БИВИСа. Могут с ключами играть. Уже третий бэкдор, и всем пох, уроды вы все, ненавижу вас.
>>11444166 Тащемта, инструментарий уже много лет имеется, используют Intel Boot Guard, или просто закороченный write-protection пин памяти как на хромбуках. Проблема в том, что большинству производителей материнок поебать на эти средства защиты, индусы пишут прошивку, не читая доки, и хуячат в продакшен, чтобы поскорее получить шекели.
>>11444209 >>11444229 Как там, в 2001? На моей материнке прошивка весит 15 МБ, микруха памяти стоит Winbond 32 МБ, меньше просто не делают. В свободное место можно ядро линукс встроить нахуй.
>>11443752 (OP) > Более того, от него не сможет защитить замена накопителя, т.к. весь код хранится в памяти материнской платы. Батарейку достал, подождал секунд 10, батарейку воткнул. Вот и весь антивирус.
Каково это, отдавать часть ресурсов своей мега-пекарни какому-то антивирусу для скана 24/7? Если весь софт из сторов или опенсорсный. Это как по КД давать себя ментам обыскивать.
>>11444230 >Тащемта, инструментарий уже много лет имеется, используют Intel Boot Guard, или просто закороченный write-protection пин памяти как на хромбуках. Проблема в том, что большинству производителей материнок поебать на эти средства защиты, индусы пишут прошивку, не читая доки, и хуячат в продакшен, чтобы поскорее получить шекели. Ну вот, еще один интелохмастер. Еще один решатель проблем от лица технологий Интелох. Крутой мастер с дипломом по верчению языком о технологии защиты с программно-аппаратными бэкдорами. Спешите видеть, циркач приехал!
>>11444281 Ну ёпта, давно это было, да я тогда и не шарил особо. Помню кнопку турбо на системниках. У меня дома 286 стоял, спектрум в гараж переехал, а у бати на работе как раз были 386 и 486 с сопроцессором. Про сопроцессор он с придыханием говорил, типа смотри сына, какая пиздатая штука бывает. А ещё у них на работе был ноутбук IBM, для меня это вообще техника на грани фантастики была. Последний раз видел его в середине нулевых, и он всё ещё работал! Умели же делать.
>>11444308 Хули его гуглить, я его ручками через архив трогал, все три версии. Самую безобидную даже запускали. Ещё помню винду пиратскую со встроенным вирусом, отличительным признаком была фотка тянки на старте системы.
Власти США уверены, это эти люди являются сотрудниками подставной компании Chengdu 404 Network Technology, которая действует под контролем и по приказу официальных лиц КНР. Так, судебные документы содержат логи перехваченных чатов между Цзяном Личжи и другими предполагаемыми хакерами, где Цзян прямо заявляет, что работает под руководством высокопоставленного чиновника из Министерства общественной безопасности Китая.
>>11444328 >Ряяяяяяя, анальные шпиёны везде Но, Вася, зачем поддерживать анальных шпиёнов в своем железе? >Ряяяяяяя, анальные шпиёны везде >Это норма >Мировая практика >И так сойдет, не больно- уже хорошо >Чего нам бояться, нам нечего скрывать
>>11444306 Блядь, пиздуй в Мьянму/Тай/Вьетнам - таких невест себе найдешь чуть больше чем дохуя. Женись/заводи детей - оформишь сыбас с пынелэнда. >>11444309 >Помню кнопку турбо на системниках Была такая, ага. Я про сопроцессор почему запомнил - у самого первый комп был SX. А с сопроцами DX-ы шли.
>>11444390 Значит, будем смотреть дамп прошивки и смотреть, какие модули грузятся. Опыт перепрошивки УЕФИ имеется. Как-то вшивал модуль НВМЕ в мать, которая искаропки не поддерживала и в официальных обновах такая поддержка не предусматривалась, поскольку физически М2 на мамке той нет. Я же установил через переходник и возжелал грузиться с камушка. 5 секунд в гугле и все необходимые проги есть.
>>11444166 >на заводе могут втыкать свой код в микрухи. а почему блядь нет? Втыкают во всё что только можно, и плюс в каждом чипе есть заложенная аппаратная уязвимость, а то и несколько.
>>11444841 >будем смотреть дамп прошивки какой блядь дамп, никакой дамп ты не получишь так вот просто. А если и получишь что то- там зашифрованный винегрет, это же не скрипт кидди делали.