Зараженный вирусом компьютер можно вылечить, тщательно просканировав содержимое всех системных разделов, включая область жесткого диска, содержащую главную загрузочную запись. В крайнем случае диск можно отформатировать, уничтожив не только файлы, но и таблицу разделов. Однако существуют вирусы, способные выжить даже после полного форматирования диска. Это может показаться невероятным и так оно и есть.
Потому что новый вирус, обнаруженный весной 2021 года и получивший название MoonBounce, поражает не саму Windows, а прошивку UEFI.
Мишенью этого необычного буткита является микросхема памяти SPI, содержащая служебное программное обеспечение, обеспечивающее запуск компьютера и передачу управления им операционной системе. Проникнув на компьютер, MoonBounce при включении последнего перехватывает ряд функций в таблице служб загрузки EFI и перенаправляет их во вредоносный код, который в свою очередь создает хуки в загрузчике операционной системе. Модифицировав загрузчик, вредонос проникает в адресное пространство ядра Windows, внедряя в него свой драйвер, который затем заражает процесс svchost.exe в пользовательском режиме.
Получив таким образом контроль над операционной системой, MoonBounce обращается к удаленному серверу, запрашивая дальнейшие инструкции, которые могут носить самый разный характер. Вирус может использоваться для слежения за пользователем, сбора конфиденциальной информации, вторичного заражения системы другим вредоносным программным обеспечением и так далее. При этом вирус действует как руткит, он не обнаруживается сканированием дискового пространства антивирусными программами, поскольку действует в оперативной памяти, не оставляя следов в файловой системе.
Цели хакерской группировки
Согласно отчетам компании «Лаборатория Касперского», MoonBounce был создан хакерской группой под названием APT41, следы которой ведут в Китай. В тех же отчетах указывается, что установленными на момент исследования целями создавших вирус злоумышленников является шпионаж и похищение с отдельных компьютеров конфиденциальной информации — персональных данных и интеллектуальной собственности.
Как защититься от MoonBounce
На данный момент вероятность заражения MoonBounce крайне мала, так как новый вирус не является сколь-либо распространенным. Нацелен вредонос прежде всего на корпоративные компьютеры, случаи заражения пользовательских компьютеров пока что не установлены. Что касается защиты от MoonBounce, здесь специалисты «Лаборатории Касперского» рекомендуют включить безопасную загрузку и использовать пароль для доступа к UEFI. Это предотвратит инъекцию вредоносного кода в ПО UEFI и несанкционированное обновление прошивки. Если же компьютер уже оказался зараженным MoonBounce или подобным ему поражающим UEFI буткитом, единственным способом удалить вредонос с компьютера будет перепрошивка микросхемы памяти SPI.
где скачать?