Odkrit virus, ki preživi formatiranje
Včasih je veljalo, da s formatiranjem računalnika in ponovno namestitvijo operacijskega sistema zagotovo pobrišemo vso nesnago. Že pred časom smo pisali, da se je to spremenilo, in najnovejša odkrita zlonamerna programa oprema to potrjuje. Ruski Lojax namreč preživi tudi ponovno namestitev.
Podjetje ESET je odkrilo virus Lojax, ki ga je najverjetneje napisala hekerska skupina Fancy Bear. Gre za znano skupino, ki je povezana z rusko državo. Lojax se zapiše v UEFI (Unified Extensible Firmware Interface, ki je naslednika BIOS-a), zato preživi tudi formatiranje in ponovno namestitev sistema. Za razkužitev sistema bi morali ponovno zapisati (reflash) čip za UEFI, kar se rutinsko ne počne.
To je prvi pri strankah odkriti primer rootkita, ki napada UEFI. Doslej so bili ti napadi zgolj teoretični oziroma laboratorijski. Prav tako so obstajali visoko specializirani virusi, ki so jih uporabljali državni hekerji. Sedaj pa so prvikrat odkrili takšen kos programske opreme na običajnem računalniku.
Mimogrede, Lojax je dobil ime, ker se zgleduje po legitimni programski opremi LoJack, ki je namenjena zaščiti pred krajo. Zaradi tega se LoJack nahaja v UEFI-ju, da je računalnik zaščiten tudi ob morebitni menjavi diska ali brisanjem. Lojax isto taktiko uporablja za zlonameren cilj.
K sreči obstaja način, kako se Lojaxa znebimo. Če računalnik zaženemo kot Secure Boot, bo preveril vse komponente. To pomeni, da bo firmware, ki je bil spremenjen in ni več podpisan s certifikatom, sprožil alarm, zaradi česar ga bo sistem odstranil.
