В «Лаборатории Касперского» нашли новый UEFI-руткит ComicStrand
Руткит новой разновидности обнаружен специалистами «Лаборатории Касперского». Версия вредоносной программы носит название CosmicStrand, найден ее код в UEFI на материнских платах производителей ASUS и Gigabyte, базирующихся на версии чипа H81. Зараженный чипсет получил распространение среди платформ пользователей Китая, России, а также Ирана и Вьетнама. Информация опубликована на сайте издания «3ДНьюс».
Удаление программы с вредоносным кодом практически невозможно, включая варианты удаления всех данных переустановкой Windows. Сама разработка CosmicStrand настроена для внедрения и работу во флеш-памяти материнской платы, это уже не программный, а аппаратный уровень.
CosmicStrand представляет собой класс руткитов, которые способны маскировать в системе активные процессы, тем самым перехватывать управление и собирать любую информацию. Когда код уже находится в прошивке UEFI, его практически невозможно удалить. В процессе загрузки он способен пройти все механизмы защиты, включая средства реализованные разработчиком в структуре ядра ОС.
Согласно информации от «Лаборатории Касперского», сам CosmicStrand был создан китайской неизвестной группой разработчиков. Причем так и непонятно, какая конкретно преследовалась цель его внедрения в пользовательские платформы.
Ранее ГЛАС сообщал, что эксперт рассказала, каких людей избегают и опасаются телефонные мошенники.