Commentaires : Le premier malware exploitant l'UEFI découvert (et il est russe)

Les ingénieurs d’un concepteur d’antivirus ont fait la découverte d’un programme malveillant, se logeant à la racine du démarrage du système d’exploitation.

Ce qui est dommage dans ce genre d’article c’est que ça fait bien flipper tout le monde sans donner aucune explication, port de communication pour l’accès à distance ? protocole ? bref des informations un minimum techniques pour que ce soit utile plutôt que du blabla sans intêret.

bis repetita

Le lien vers la source mérite d’être mentionné

La source a été ajoutée

Même la source ne parle en rien de la technique utilisée pour s’infiltrer sur la machine cible.
“Le rootkit UEFI ajouté à l’image du microprogramme n’a qu’un seul rôle: déposer le logiciel malveillant dans l’espace utilisateur sur la partition du système d’exploitation Windows et vérifier qu’il est exécuté au démarrage.”
Ok super mais comment ce rootkit s’infiltre t’il ? là ça serait intérressant et comme par hasard cela n’est jamais indiqué, à croire que personne ne connait l’existence et l’utilisation d’un pare feu…

@M. Grumiaux … Que voulez-vous suggérer par ce « (et il est russe) » dans le titre de l’article…?

Comme le montre ce camembert (source: BusinessWeek/Symantec), la cybercriminalité est en effet un phénomène plutôt rare en Russie…

Pour les lecteurs qui se méfient un peu de l’information relayée (virale-ment ?) par une certaine presse, voici le lien vers l’étude dont il est extrait :

Tiens… puisque votre métier semble être la traduction en français de ce que vous lisez dans les médias anglophones… vous pourriez peut-être nous concocter un article résumant les conclusions de enigmasoftware.com pour les lecteurs francophones…?

Pas mal ! :+1:

Bien-sûr que si c’est expliqué dans le PDF: https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf

En gros, le malware arrive à flasher le firmware SPI (la puce BIOS) pour y insérer un malware, et au démarrage recherche une partition FAT32/NTFS pour y insérer son payload qui va télécharger un programme.
Vu que c’est dans le BIOS, ça résiste à un formatage.
La seule solution pour s’en débarrasser c’est de flasher le BIOS, si possible avec un programmateur SPI (3€ sur eBay) pour être certain de s’en être débarrassé.

Plus d’infos sur le flash SPI ici: https://forum.hardware.fr/hfr/Hardware/carte-mere/management-desactiver-backdoor-sujet_1024572_1.htm

Plus d’infos sur le flash SPI ici: https://forum.hardware.fr/hfr/Hardware/carte-mere/management-desactiver-backdoor-sujet_1024572_1.htm