卡巴斯基发现UEFI恶意程序CosmicStrand华硕和技嘉主板受影响

​反病毒厂商卡巴斯基的一支安全威胁研究团队近日发现了名为“CosmicStrand”的恶意程序。事实上，这款恶意程序并不是新病毒，而且曾在 2016-2017 年爆发“Spy Shadow”木马的更早版本。目前在华硕和技嘉的固件中发现了这款 UEFI 恶意程序，即使重新安装 Windows 系统也无法移除这款 UEFI 恶意程序。

成都创新互联公司-专业网站定制、快速模板网站建设、高性价比青浦网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式青浦网站制作公司更省心,省钱,快速模板网站建设找我们，业务覆盖青浦地区。费用合理售后完善，10余年实体公司更值得信赖。

卡巴斯基表示现阶段只有 ​​Windows​​ 系统受到攻击：“现阶段发现的所有攻击设备都运行 Windows 系统：每次电脑重启，在 Windows 重启之后将会执行一段恶意代码。该代码的目的是连接到 C2（命令和控制）服务器，并下载额外可执行的恶意程序”。

卡巴斯基在深度剖析 Securelist 文章中，对该恶意程序的运行机制进行了详细的描述：

工作流程包括连续设置钩子，使恶意代码持续到OS启动后。涉及的步骤是：

1. 整个链条的起始是感染固件引导

2. 该恶意软件在启动管理器中设置了恶意钩，允许在执行Windows的内核加载程序之前修改它。

3. 通过篡改OS加载器，攻击者可以在Windows内核的功能中设置另一个钩子。

4. 当后来在OS的正常启动过程中调用该功能时，恶意软件最后一次控制执行流程。

5. 它在内存中部署了一个壳牌码，并与C2服务器联系以检索实际的恶意有效载荷以在受害者的机器上运行。

分享名称：卡巴斯基发现UEFI恶意程序CosmicStrand华硕和技嘉主板受影响
转载来于：http://www.shufengxianlan.com/qtweb/news6/52356.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联