Od jakiegoś czasu w sieci krążą informacje o nowym wirusie o nazwie LoJax. Mówi się, że jest to wirus przełomowy (jakkolwiek dziwnie to brzmi w kontekście złośliwego oprogramowania) gdyż jak do tej pory istniał tylko teoretycznie i był omawiany jako jeden z wielu możliwych przykładów zaatakowania komputerów na różnych konferencjach dotyczących bezpieczeństwa komputerowego. Przełomowe w tym szkodniku jest przede wszystkim to, że nie da się go usunąć poprzez ponowną instalację systemu, nie pomoże nawet wymiana dysków twardych – LoJax zagnieżdża się we wbudowanej pamięci SPI FLASH w płycie głównej komputera.

Jednak LoJax z teorii przeszedł do rzeczywistości i jak donoszą badacze firmy ESET (którzy odkryli faktycznie zagrożenie i przeprowadzili jego szczegółowe rozpoznanie) zainfekowanych jest już tysiące maszyn w tym spora cześć na terenie naszego kraju.

Jak skasować, jak naprawić LoJax?

Dobra informacja – da się skasować wirusa LoJax na dobre. Jednak będąc zwykłym użytkownikiem, nawet z bardzo dużą wiedzą – nie dasz rady tego zrobić – ogranicza Cię brak narzędzi. Jak zostało wspomniane wcześniej – LoJax zagnieżdża się w pamięci FLASH na płycie głównej komputera, gdzie przechowywane jest UEFI, czyli następca systemu BIOS – jest to elektroniczny układ scalony przylutowany do płyty głównej.

Pierwsze co pewnie przychodzi na myśl większości użytkowników, to wgranie najnowszego BIOS – wszak dostępne są programy do robienia tego z poziomu Windowsa. Jednak nic z tego – nadpisanie BIOS za pomocą software’owego flashera nic nie da. LoJax infekuje obszary UEFI, które nie są nadpisywane przez Windowsowe flashery.

LoJax’a można się pozbyć poprzez sprzętowe flashowanie kości z zawartością UEFI.

Oznacza to, że kość flash do której wgrane jest zainfekowane EUFI, trzeba wylutować z płyty głównej i umieścić w specjalnym programatorze, który jest w stanie wyczyścić kość od pierwszego do ostatniego bita a następnie wgrać do niej czysty, niezainfekowany wsad, który np. można pobrać ze strony producenta płyty głównej czy laptopa.

Nasz serwis wykonuje tego typu programowanie. Na poniższym filmie z naszego serwisu można zobaczyć jak to wygląda:

Zapytaj nasz serwis o pomoc w skasowaniu LoJax:

Co to jest LoJax skąd ten wirus?

LoJax jest tak naprawdę złośliwą mutacją oprogramowania o nazwie LoJack, które z założenia miało być (i w sumie nadal jest) bardzo pożyteczne. Oprogramowanie to miało pomóc zablokować i odzyskać skradziony komputer poprzez zdalne zainstalowanie odpowiedniego oprogramowania które pozwalało nałożyć blokady oraz określić lokalizację urządzenia. Wszystko to miało odbywać się niezauważenie tak aby złodziej nie wiedział, że cokolwiek się święci aż do momentu zablokowania sprzętu. Oryginalny, (ten pożyteczny) LoJack można znaleźć w większości komputerów pod nazwą „Computrace”

Ten sam mechanizm działania prezentuje LoJax podszywając się pod oryginalnego LoJack, jednak zamiast oprogramowania do zablokowania i namierzenia skradzionego urządzenia – ten pobiera różnego rodzaju złośliwe aplikacje dzięki którym hakerzy mogą zrobić z naszym komputerem co im się tylko podoba.

Jak dochodzi do infekcji LoJax’em?

Ciężko jednoznacznie określić jak infekcja przedostaje się do komputera. Bardzo prawdopodobne , że LoJax dołączany jest do wielu instalatorów różnych dziwnych aplikacji typu „Przyspieszacz Komputera”, „Odkurzacz”, „Darmowe Filmy” i masa innych, których reklamy można znaleźć na stronach oferujących dziwne i nie do końca legalne treści.

Gdy już damy się nabrać na zainstalowanie takiej aplikacji z dołączonym LoJax’em, wtedy zaczyna on pobieranie własnych złośliwych plików, które zgrywają nasze oryginalne UEFI, następnie  modyfikują je i wstrzykują do niego złośliwy kod a na koniec zainfekowane UEFI jest z powrotem wgrywane do pamięci SPI FLASH. Tak zmodyfikowane UEFI zostawia otwartą furtkę dla hakerów, którzy mogą przesyłać nam na komputer co tylko zechcą i tak samo przejąć nad nim całkowitą kontrolę.

Jak rozpoznać infekcję LoJax?

Nie ma jednoznacznego objawu infekcji gdyż dwa komputery zaatakowane LoJax’em mogą się zachowywać zupełnie różnie. Na pewno zorientujesz się, że masz LoJax’a gdy nawet po wyzerowaniu dysku twardego lub jego wymianie – infekcje będą od razu wracać na Twój komputer. Pomaga też monitorowanie ruchu sieciowego pod kątem połączeń z domenami na poniższej liście (firmie ESET udało się ustalić adresy z jakimi łączy się LoJax):

secao[.]org
ikmtrust[.]com
sysanalyticweb[.]com
lxwo[.]org
jflynci[.]com
remotepx[.]net
rdsnets[.]com
rpcnetconnect[.]com
webstp[.]com
elaxo[.]org
185.77.129[.]106
185.144.82[.]239
93.113.131[.]103
185.86.149[.]54
185.86.151[.]104
103.41.177[.]43
185.86.148[.]184
185.94.191[.]65
86.106.131[.]54

Jak uchronić się przed infekcją LoJax?

Nie ma 100% skutecznego sposobu (na tę chwilę), ale jeśli jeszcze nie doszło u Ciebie do infekcji albo jesteś świeżo po jej usunięciu na pewno dobrą profilaktyką będzie:

• Unikanie instalacji „dziwnego” oprogramowania z nieznanych stron (wszelkie przyspieszacze komputera i inne mało wiarygodne oprogramowanie oferujące „cuda”).
• Wyłączenie w UEFI opcji Computrace (co prawda pozbawiamy się możliwości namierzenia skradzionego komputera, jednak tymczasowo można zastosować taką prewencję, gdyż ryzyko infekcji jest bardziej prawdopodobne niż kradzież).
• Włączenie w UEFI opcji SecureBoot, która sprawdza podpisy cyfrowe ładowanych modułów (LoJax takiego podpisu na tę chwilę nie posiada)
• Upewnienie się, że posiadamy najnowszą wersję UEFI oraz najnowszą bazę wirusów w programie antywirusowym.
• Jak zwykle zachowanie czujności i trzeźwego myślenia i nie instalowanie wszystkiego co popadnie ;)