Od jakiegoś czasu w sieci krążą informacje o nowym wirusie o nazwie LoJax. Mówi się, że jest to wirus przełomowy (jakkolwiek dziwnie to brzmi w kontekście złośliwego oprogramowania) gdyż jak do tej pory istniał tylko teoretycznie i był omawiany jako jeden z wielu możliwych przykładów zaatakowania komputerów na różnych konferencjach dotyczących bezpieczeństwa komputerowego. Przełomowe w tym szkodniku jest przede wszystkim to, że nie da się go usunąć poprzez ponowną instalację systemu, nie pomoże nawet wymiana dysków twardych – LoJax zagnieżdża się we wbudowanej pamięci SPI FLASH w płycie głównej komputera.
Jednak LoJax z teorii przeszedł do rzeczywistości i jak donoszą badacze firmy ESET (którzy odkryli faktycznie zagrożenie i przeprowadzili jego szczegółowe rozpoznanie) zainfekowanych jest już tysiące maszyn w tym spora cześć na terenie naszego kraju.
SPIS TREŚCI:
Dobra informacja – da się skasować wirusa LoJax na dobre. Jednak będąc zwykłym użytkownikiem, nawet z bardzo dużą wiedzą – nie dasz rady tego zrobić – ogranicza Cię brak narzędzi. Jak zostało wspomniane wcześniej – LoJax zagnieżdża się w pamięci FLASH na płycie głównej komputera, gdzie przechowywane jest UEFI, czyli następca systemu BIOS – jest to elektroniczny układ scalony przylutowany do płyty głównej.
Pierwsze co pewnie przychodzi na myśl większości użytkowników, to wgranie najnowszego BIOS – wszak dostępne są programy do robienia tego z poziomu Windowsa. Jednak nic z tego – nadpisanie BIOS za pomocą software’owego flashera nic nie da. LoJax infekuje obszary UEFI, które nie są nadpisywane przez Windowsowe flashery.
Oznacza to, że kość flash do której wgrane jest zainfekowane EUFI, trzeba wylutować z płyty głównej i umieścić w specjalnym programatorze, który jest w stanie wyczyścić kość od pierwszego do ostatniego bita a następnie wgrać do niej czysty, niezainfekowany wsad, który np. można pobrać ze strony producenta płyty głównej czy laptopa.
Nasz serwis wykonuje tego typu programowanie. Na poniższym filmie z naszego serwisu można zobaczyć jak to wygląda:
Zapytaj nasz serwis o pomoc w skasowaniu LoJax:
LoJax jest tak naprawdę złośliwą mutacją oprogramowania o nazwie LoJack, które z założenia miało być (i w sumie nadal jest) bardzo pożyteczne. Oprogramowanie to miało pomóc zablokować i odzyskać skradziony komputer poprzez zdalne zainstalowanie odpowiedniego oprogramowania które pozwalało nałożyć blokady oraz określić lokalizację urządzenia. Wszystko to miało odbywać się niezauważenie tak aby złodziej nie wiedział, że cokolwiek się święci aż do momentu zablokowania sprzętu. Oryginalny, (ten pożyteczny) LoJack można znaleźć w większości komputerów pod nazwą „Computrace”
Ten sam mechanizm działania prezentuje LoJax podszywając się pod oryginalnego LoJack, jednak zamiast oprogramowania do zablokowania i namierzenia skradzionego urządzenia – ten pobiera różnego rodzaju złośliwe aplikacje dzięki którym hakerzy mogą zrobić z naszym komputerem co im się tylko podoba.
Ciężko jednoznacznie określić jak infekcja przedostaje się do komputera. Bardzo prawdopodobne , że LoJax dołączany jest do wielu instalatorów różnych dziwnych aplikacji typu „Przyspieszacz Komputera”, „Odkurzacz”, „Darmowe Filmy” i masa innych, których reklamy można znaleźć na stronach oferujących dziwne i nie do końca legalne treści.
Gdy już damy się nabrać na zainstalowanie takiej aplikacji z dołączonym LoJax’em, wtedy zaczyna on pobieranie własnych złośliwych plików, które zgrywają nasze oryginalne UEFI, następnie modyfikują je i wstrzykują do niego złośliwy kod a na koniec zainfekowane UEFI jest z powrotem wgrywane do pamięci SPI FLASH. Tak zmodyfikowane UEFI zostawia otwartą furtkę dla hakerów, którzy mogą przesyłać nam na komputer co tylko zechcą i tak samo przejąć nad nim całkowitą kontrolę.
Nie ma jednoznacznego objawu infekcji gdyż dwa komputery zaatakowane LoJax’em mogą się zachowywać zupełnie różnie. Na pewno zorientujesz się, że masz LoJax’a gdy nawet po wyzerowaniu dysku twardego lub jego wymianie – infekcje będą od razu wracać na Twój komputer. Pomaga też monitorowanie ruchu sieciowego pod kątem połączeń z domenami na poniższej liście (firmie ESET udało się ustalić adresy z jakimi łączy się LoJax):
secao[.]org
ikmtrust[.]com
sysanalyticweb[.]com
lxwo[.]org
jflynci[.]com
remotepx[.]net
rdsnets[.]com
rpcnetconnect[.]com
webstp[.]com
elaxo[.]org
185.77.129[.]106
185.144.82[.]239
93.113.131[.]103
185.86.149[.]54
185.86.151[.]104
103.41.177[.]43
185.86.148[.]184
185.94.191[.]65
86.106.131[.]54
Nie ma 100% skutecznego sposobu (na tę chwilę), ale jeśli jeszcze nie doszło u Ciebie do infekcji albo jesteś świeżo po jej usunięciu na pewno dobrą profilaktyką będzie:
Acer Nitro 5 - Nie uruchamia się Za brak uruchamiania się tego modelu laptopa, może…
Brak obrazu w laptopach serii Lenovo IdeaPad Zauważyliśmy, że we wszystkich modelach serii IdeaPad i…
Usterka gniazda HDMI w laptopach - Brak obrazu na monitorze zewnętrznym W laptopach które często…
Wyrwane gniazdo baterii - na przykładzie laptopa Asus GL704 W laptopach marki Asus bardzo często…
Jakie objawy mogą wskazywać na uszkodzoną taśmę matrycy w laptopie? Podczas poruszania klapą matrycy znika…
W artykule, pokażemy jak wygląda poprawna wymiana klawiatury zgrzewanej w laptopie marki Asus VivoBook 15.…
Czytasz stronę w wersji AMP. Link do pełnej wersji na końcu strony.