Rușii au făcut un virus care rezistă și după ce ștergi sistemul de operare

Hackerii rușii se pare că au reușit să creeze un malware care poate persista pe PC-urile Windows, chiar și după ce sistemul de operare a fost reinstalat.

Specialiștii de securitate de la firma ESET au descoperit un malware puternic pe care l-au numit Lojax și cred că vine de la grupul de hackeri cunoscut ca Fancy Bear. Virusul atacă UEFI (Unified Extensible Firmware Interface) al computerului, acesta fiind folosit pentru a porni sistemul. Prin rescrierea UEFI, malware-ul poate persista în memoria flash a computerului, permițându-i astfel să supraviețuiască unei reinstalări a sistemului de operare și chiar a înlocuirii hard disk-ului.

Pentru a scăpa de malware trebuie rescrisă memoria flah a computerului, „o operație ce nu este foarte comună și nu este la îndemână pentru utiizatorul obișnuit”, spun cei de la ESET care nu au vrut să spună unde au găsit virsul, dar firma de securitate a menționat că gruparea Fancy Bear folosește componente ale Lojax pentru ataca organizații guvernamentale din Balcani și alte țări din estul și centrul Europei.

Potrivit ESET, Lojax este pentru prima dată când un rootkit UEFI a fost detectat atacând un sistem în lumea reală. Înainte de acest atac, experiții vorbeau de rootkit-uri UEFI drept ca niște atacuri teoretice, deși existau dovezi că firme de securitate vindeau unelte de hacking clienților guvernamentali.

Comportamentul Lojax este asemănător cu al unui program numit LoJack, un produs anti-furt care și este este foarte greu de șters de pe un PC. Așadar, se pare că Fancy Bear a reușit să modifice LoJack pentru a ajuta gruparea să atace sistemele și de a trece de programele de securitate. ESET a menționat că multe programe antivirus permit programului LoJack să ruleze pe PC-uri.

Nu este clar cum Fancy Bear a reușit să livreze malware-ul, dar acesta poate fi folosit pentru a descărca și alte programe software virusate pentru a infecta calculatorul.