80後應該對CIH病毒還有印象,在1998年爆發的CIH是首個能夠破壞計算機硬件的病毒,它的破壞目標除了硬盤數據還有主板BIOS固件。時光荏苒,當代計算機病毒已經從炫技和單純的破壞轉向盜竊和勒索。最近針對UEFI BIOS固件的病毒出現抬頭趨勢,這類病毒一旦感染很難清除!
UEFI相比傳統BIOS能夠提供更多的先進功能,強大的功能和可擴展性也給病毒帶來了活躍的舞臺。這次病毒的目標不再是破壞BIOS程序,而是侵入其中BIOS程序所在的SPI閃存,每次開機先於操作系統加載,讓殺毒軟件也對其無可奈何。
最近被發現的UEFI rootkit病毒被ESET的惡意軟件研究人員命名為LoJax。有意思的是,該病毒是從合法的LoJack軟件修改而來。
LoJack是一個幫助用戶找回被盜電腦的底層軟件服務,它內置於電腦UEFI BIOS當中,能夠隱蔽地追蹤被盜電腦設備的位置,並且能夠遠程鎖定或抹除硬盤數據(類似於iPhone等手機的丟失模式)。即便盜竊者更換新硬盤,內置於UEFI BIOS空間內的LoJack依然會搶先於操作系統啟動,使其無法脫離控制。
這樣強大的功能自然很容易被惡意利用,多數安全軟件都只能掃描文件和內存空間,對於固件級的惡意代碼很難監測。
CIH病毒因陳英豪發佈解毒程序以及Windows 98系統的過時而平息。現在,UEFI BIOS給人帶來便利的同時也滋生了新的病毒溫床。除了刷新覆蓋BIOS芯片內被感染的部分,或者直接更換BIOS芯片之外,很難徹底清除這些病毒。取得立足之地的病毒所能造成的破壞,恐怕不是我們能夠輕易想象的。
分享到:
閱讀更多 PCEVA 的文章
