реклама
Специалисты по исследованию угроз безопасности из «Лаборатория Касперского» нашли вредоносное ПО под именем CosmicStrand. Новой эта программа не является, поскольку её ранний вариант «троян Spy Shadow» известен с 2016-17 годов.
CosmicStrand относится к руткитам UEFI, который нашли в заражённых прошивках материнских плат Asus и Gigabyte. Избавиться от руткита UEFI переустановкой операционной системы невозможно. От атак и взломов с его стороны пострадали пока только системы Windows.
реклама
После каждой перезагрузки Windows в системе находили фрагмент вредоносного кода. Он должен подключиться к серверу и скачать дополнительный вредоносный исполняемый файл. Однако «Лаборатория Касперского» не определила, как происходит заражение. Некоторые пользователи утверждают, что купленные в интернете с рук материнские платы были заражены. Жертвами CosmicStrand стали пользователи из Китая, Вьетнама, Ирана и России.
Пользователям материнских плат Gigabyte и Asus на Windows-компьютерах рекомендуется включать безопасную загрузку. Ещё лучше перепрошить BIOS, скачав его с официальных сайтов производителей плат.
В ходе исследования нашли сходство между CosmicStrand и ботнетом «MyKings» в образцах кода. Последний пришёл из Китая, так что эта же страна может быть родиной руткита CosmicStrand, пишет Neowin.