hovedkortinfisertmedtrojaner
Noen kunder som har handlet brukte hovedkort har funnet at de er infiserte med en farlig trojaner.

Annonse


Det hjelper ikke en gang slette Windows for å fjerne denne trojaneren

Et nytt UEFI-rootkit døpt “CosmicStrand” angriper nå hovedkort fra Asus og Gigabyte.

Formatering hjelper ikke

Dette er to populære og store leverandører av hovedkort, så dette er således en farlig affære.

Ikke bedre blir det at trojaneren er koblet til fastvaren til hovedkortet, og ikke Windows-installasjonen eller harddisken – med andre ord hjelper det på ingen måte å slette Windows eller å formatere disker.

“CosmicStrand” stammer fra Kina og er en videreutviklet variant av en trojaner som ble oppdaget allerede i 2017.

Annonse


Kontakter server for å hente mer farlig kode

“Alle maskinene som ble angrepet er Windows-baserte: hver gang en datamaskin startet på nytt, ble det kjørt litt ondsinnet kode etter at Windows startet. Hensikten var å koble til en C2-server (kommando-og-kontroll) og laste ned en ekstra ondsinnet kjørbar fil,” forklarer Kaspersky som oppdaget den farlige koden.

Handlet brukte kort

Spørsmålet du sikkert allerede har spurt deg selv er: hvordan får trojaneren tilgang til hovedkortets UEFI i første omgang?

Kaspersky har rett og slett ikke noe svar på det, men noen kunder handlet brukte hovedkort som ble levert med skadevaren. Bekreftede handel av slike hovedkort stammer fra fra Kina, Vietnam, Iran og Russland. Disse kundene må sporenstreks “flashe” en ny BIOS og aktivere “Secure boot”.

Slik går “CosmicStrand” frem:

Annonse