Posible malware UEFI de Virus Total .rom scan

Question

Posible malware UEFI de Virus Total .rom scan

#1 de Steffen Ullrich (1 votos)

0

Descargué mi firmware en mi Macbook con Darwin Dumper y cargué el archivo. Total y mostró una gran cantidad de imágenes PE32 malas (pestaña Detalle de archivo), todas las cuales parecen ser detectadas por Cylance / Trapmine / Cybereason como no seguras / suspicious.low.ml.score / maliciosa. random 6 char- cadena larga respectivamente.

Lo más extraño es que hace 3 días, un archivo en un hotel Mismo modelo de Macbook, ROM, versión de EFI, nombres y advertencias de los archivos de BIOS de ROM.

¿Puede alguien explicarme qué significan estos hallazgos? ¿Nunca debería confiar en esta computadora otra vez? También estoy realmente preocupado por el archivo idéntico hace unos días, ¿no son los volcados de firmware únicos para cada sistema? ¿O las máquinas del mismo modelo tienen los mismos volcados de firmware, es decir, todos los MB Air Mid-2012 tendrán el mismo volcado?

malware virus bios uefi

pregunta ffdd992 01.12.2018 - 08:06

fuente

1 respuesta

Lea otras preguntas en las etiquetas malware virus bios uefi

¿se puede falsificar el valor de request.getHeader ("Host")? Descifrado DPAPI

score 1 · Answer 1

... ¿no son los volcados de firmware únicos para cada sistema?

El firmware del sistema es el software específico para el hardware; con el mismo hardware puede esperar el mismo firmware e incluso con un hardware diferente se puede usar el mismo firmware, ya que el hardware es a menudo similar o solo una parte del firmware se usa con el hardware instalado . Esto no es muy diferente de otro software, es decir, MS Office es el mismo binario para miles de sistemas.

mostró una gran cantidad de imágenes PE32 malas

PE32 son perfectamente normales en UEFI. De enlace :

Los ejecutables UEFI son imágenes PE32 / PE32 + (Windows x32 / x64) normales, con un subsistema específico. Cada aplicación UEFI es básicamente un EXE de Windows (o DLL) sin tablas de símbolos.

En cuanto a que estas imágenes son malas:

todos los cuales parecen ser detectados por Cylance / Trapmine / Cybereason como No seguros / suspicious.low.ml.score / malware.random 6 cadenas de caracteres, respectivamente.

Estas parecen ser solo heurísticas aplicadas aquí, no un patrón de malware conocido. Con la heurística, por lo general, obtiene una alta tasa de falsos positivos (que detecta algo que no es malicioso como malicioso) si también desea obtener una alta tasa de positivos verdaderos (no se pierda ningún potencial malicioso). Supongo que estos son simplemente falsos positivos dado que solo unos pocos motores encuentran esto.