UEFI руткит , как такое чистится на пратике?

Как точно подтвердить? Как лечить? Просто перешить биос с флешки и с нуля ОС?
Изменено: Сергей Г - 29.10.2021 12:26:36
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

! Здесь внизу страницы есть меню: Загрузить файлы.
---------
Можно в безопасном режиме системы.
или с Live usb диска. ( uVS )
---------
можно применить метод поиска руткитов по файлу сверки
http://forum.esetnod32.ru/forum9/topic2729/
+
Создайте лог в uVS - Live CD
http://forum.esetnod32.ru/forum6/topic2102/
http://forum.esetnod32.ru/forum9/topic683/
+
В меню Пуск введите команду: msinfo32
Запуститься msinfo32.exe и покажет информацию о системе.
В том числе версию BIOS
Если вы знаете какая у вас должна быть версия: номер, год и т.д...
То можно сравнить\посмотреть: что и как.
Можно посмотреть - что официально выходило ( какой BIOS год\версия) и сравнить ориентируясь на модель материнской платы и поиск на сайте производителя.
--------
Есть программы для создания копии BIOS типа: BIOS Bacup ToolKit
Некоторые программы прошивки\обновления предлагают предварительно создать\сохранить резервную копию.
Полученную резервную копию можно проверить здесь: https://www.virustotal.com/gui/home/upload
( если получиться - результаты в студию :)  )
Цитата
RP55 RP55 написал:
В меню Пуск введите команду: msinfo32
Странно, ноут этот был куплен в 2015 а версия биоса стоит от 2013... но вроде бы эта версия которая стоит является крайней на эту систему. А что должно было поменяться?


И ещё вопросик: почему бут имидж надо писать на чистой системе оно что, его может на лету замодить в теории?
Цитата
Сергей Г написал:
Странно, ноут этот был куплен в 2015 а версия биоса стоит от 2013... но вроде бы эта версия которая стоит является крайней на эту систему. А что должно было поменяться?

Если некая программа ( вирус ) поменяла BIOS - то  фактически она должна была его заменить на другой ( на вариант разработанный плохими парнями )
В другом BIOS будет другая информация\код. ( дата, версия, вес )

Ищите информацию сравнивайте. Что есть, что должно быть.
Цитата
Сергей Г написал:
почему бут имидж надо писать на чистой системе оно что, его может на лету замодить в теории?

Как правило в случае заражения руткитами\буткитами и т.д.заражённая машина по сети получает дополнительные модули\программы ( вирусы ) которые расширяют первоначальный функционал.
И они могут повлиять - добавить что-то своё.

Цитата
Сергей Г написал:
После запуска одной проги в песочнице
Что показывает вирустотал ( результат в студию :)
-----
Программу ( вирус - ту, что запускали в  Sandboxie) поместите в архив. На архив установите пароль: infected
его нужно  отправить на почту safety@chklst.ru, sendvirus2011@gmail.com, support@esetnod32.ru
----------
Но всё это теория\лирика.
Нужны логи uVS - для анализа.
Изменено: RP55 RP55 - 24.10.2021 02:32:26
Цитата
Если некая программа ( вирус ) поменяла BIOS - то  фактически она должна была его заменить на другой
Если она слила старый, замодила его и перешила обратно, ничего не должно видимо поменяться вроде.
Изменено: Сергей Г - 29.10.2021 12:37:43
Цитата
Сергей Г написал:
Если она слила старый, замодила его и перешила обратно, ничего не должно видимо поменяться вроде.

Что и как было ( или не было ) - можно только гадать.
Просто нужно смотреть и изучать.

https://habr.com/ru/company/eset/blog/425251/
Согласен, гадать бессмысленно, надо проверять, чтобы не гадать далее вот файл проверки uVS.
Несколько грустно правда что для поиска вируса используется утилита, дроп которой детектится виндой как Trojan:Win32/Occamy.CED. :)))
Изменено: Сергей Г - 29.10.2021 12:27:32
Цитата
Сергей Г написал:
Несколько грустно правда что для поиска вируса используется утилита, дроп которой детектится виндой как Trojan:Win32/Occamy.CED. :)))

Программа после запуска стартует под другим именем ( чтобы избежать возможной блокировки со стороны вирусов ).
Поэтому эвристика ряда антивирусов так реагирует.
-----------
Z:\WINDOWS\PROCEXP64.EXE
Sysinternals Process Explorer
Действительна, подписано Microsoft Corporation
V.T: 2021-10-24 01:18 [2020-08-18] - Файл был чист на момент проверки.
CPU 1: 11,14%
CPU 2: 44,55%

cmdLine: "Z:\WINDOWS\PROCEXP64.EXE" "Z:\WINDOWS\SYSTEM32\TASKMGR.EXE"
HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger

---------
Сами делали ?
---------
Прочтите: https://forum.esetnod32.ru/forum8/topic15785/
Изменено: RP55 RP55 - 24.10.2021 23:06:23
Это была включена опция замены стандартного диспетчера на этот, он более продвинутый.


Про ссылку: буду читать, спасибо за информацию эту.
Изменено: Сергей Г - 24.10.2021 23:41:41
Читают тему (гостей: 1)