Заражений вірусом комп’ютер можна вилікувати, ретельно просканувавши вміст всіх системних розділів, включаючи область жорсткого диска, що містить головний завантажувальний запис. В крайньому випадку диск можна відформатувати, знищивши не тільки файли, але і таблицю розділів. Однак існують віруси, здатні вижити навіть після повного форматування диска. Це може здатися неймовірним і так воно і є.
Тому що новий вірус, виявлений навесні 2021 року і отримав назву moonbounce , вражає не саму windows, а прошивку uefi .
Мішенню цього незвичайного буткіта є мікросхема пам’яті spi , що містить службове програмне забезпечення, що забезпечує запуск комп’ютера і передачу управління ним операційній системі. Проникнувши на комп’ютер, moonbounce при включенні останнього перехоплює ряд функцій в таблиці служб завантаження efi і перенаправляє їх у шкідливий код, який в свою чергу створює хуки в завантажувачі операційній системі. Модифікувавши завантажувач, шкідник проникає в адресний простір ядра windows, впроваджуючи в нього свій драйвер, який потім заражає процес svchost.exe в режимі користувача.
Примітка: яким образоммоопвоипсе потрапляє на комп’ютер поки що точно невідомо, передбачається, що зараження відбувається через віддалений доступ до цільового комп’ютера.
Отримавши таким чином контроль над операційною системою, moonbounce звертається до віддаленого сервера, запитуючи подальші інструкції, які можуть носити самий різний характер. Вірус може використовуватися для стеження за користувачем, збору конфіденційної інформації, вторинного зараження системи іншим шкідливим програмним забезпеченням і так далі. При цьому вірус діє як руткіт, він не виявляється скануванням дискового простору антивірусними програмами, оскільки діє в оперативній пам’яті, не залишаючи слідів у файловій системі.
Цілі хакерського угруповання
Згідно зі звітами компанії «лабораторія касперського», moonbounce був створений хакерською групою під назвою apt41 , сліди якої ведуть до китаю. У тих же звітах вказується, що встановленими на момент дослідження цілями створили вірус зловмисників є шпигунство і викрадення з окремих комп’ютерів конфіденційної інформації — персональних даних та інтелектуальної власності.
Як захиститися від moonbounce
На даний момент ймовірність зараження moonbounce вкрай мала, так як новий вірус не є як-небудь поширеним. Націлений шкідник насамперед на корпоративні комп’ютери, випадки зараження призначених для користувача комп’ютерів поки що не встановлені. Що стосується захисту від moonbounce, тут фахівці “лабораторії касперського” рекомендують включити безпечне завантаження і використовувати пароль для доступу до uefi. Це запобіжить ін’єкцію шкідливого коду в пз uefi і несанкціоноване оновлення прошивки. Якщо ж комп’ютер вже виявився зараженим moonbounce або подібним йому вражаючим uefi буткітом, єдиним способом видалити шкідливий з комп’ютера буде перепрошивка мікросхеми пам’яті spi.
