比CIH更恐怖的UEFI病毒降临

80后应该对CIH病毒还有印象，在1998年爆发的CIH是首个能够破坏计算机硬件的病毒，它的破坏目标除了硬盘数据还有主板BIOS固件。时光荏苒，当代计算机病毒已经从炫技和单纯的破坏转向盗窃和勒索。最近针对UEFI BIOS固件的病毒出现抬头趋势，这类病毒一旦感染很难清除！



UEFI相比传统BIOS能够提供更多的先进功能，强大的功能和可扩展性也给病毒带来了活跃的舞台。这次病毒的目标不再是破坏BIOS程序，而是侵入其中BIOS程序所在的SPI闪存，每次开机先于操作系统加载，让杀毒软件也对其无可奈何。



最近被发现的UEFI rootkit病毒被ESET的恶意软件研究人员命名为LoJax。有意思的是，该病毒是从合法的LoJack软件修改而来。



LoJack是一个帮助用户找回被盗电脑的底层软件服务，它内置于电脑UEFI BIOS当中，能够隐蔽地追踪被盗电脑设备的位置，并且能够远程锁定或抹除硬盘数据（类似于iPhone等手机的丢失模式）。即便盗窃者更换新硬盘，内置于UEFI BIOS空间内的LoJack依然会抢先于操作系统启动，使其无法脱离控制。



这样强大的功能自然很容易被恶意利用，多数安全软件都只能扫描文件和内存空间，对于固件级的恶意代码很难监测。



CIH病毒因陈盈豪发布解毒程序以及Windows 98系统的过时而平息。现在，UEFI BIOS给人带来便利的同时也滋生了新的病毒温床。除了刷新覆盖BIOS芯片内被感染的部分，或者直接更换BIOS芯片之外，很难彻底清除这些病毒。取得立足之地的病毒所能造成的破坏，恐怕不是我们能够轻易想象的。