LoJax es un nuevo malware detectado que es único en el mundo. A diferencia de otros códigos maliciosos, de este no te puedes deshacer pasando un antivirus o restaurando el ordenador. El malware resiste y vuelve a infectar una y otra vez el equipo, porque vive en la placa base del ordenador.
Según ha publicado la empresa de seguridad ESET, han descubierto un nuevo y poderoso malware llamado LoJax en el ordenador de una de las víctimas afectadas. Pero no lo han encontrado en el sistema operativo o en un archivo en el disco duro como tal, sino en una parte más privada aún del ordenador, en el UEFI.
El UEFI es muy similar a la BIOS, su sucesor de hecho. Pero si tampoco sabes lo que es la BIOS, digamos que el UEFI es el firmware encargado de iniciar el ordenador y todos sus componentes. Es lo primero que se ejecuta al encender el ordenador, y lo que permite poder instalar un sistema operativo en él por ejemplo, ya que enciende y controla todos los componentes.
Pues bien, según ha indicado la firma de seguridad ESET, el malware LoJax lo que hace es que una vez consigue ejecutarse en el ordenador de la víctima modificar la UEFI del mismo. La UEFI es una parte delicada del ordenador y generalmente no se altera. Por lo tanto, también es uno de los lugares menos sospechosos del equipo donde uno espera encontrarse un malware. Una vez está instalado en el UEFI, sólo tiene que desplegarse una y otra vez por el equipo siempre que se reinstale el sistema operativo o se restaure/cambie el disco duro.
Un método teórico hasta ahora reservado para las conferencias de seguridad
Acceder a la UEFI, modificarla y ejecutar desde ahí un malware siempre ha sido más un método teórico que práctico. Según indica ESET, hasta ahora han visto algunos conceptos y pruebas, pero ninguno real y completamente funcional. Tanto es así que los ataques desde la UEFI están más presentes en charlas de seguridad como métodos posibles a futuro que métodos puestos en práctica.
El malware LoJax es destacable por dos razones. La primera de ellas es que demuestra que efectivamente se puede ejecutar y desplegar malware desde la UEFI, por lo tanto puede no ser el único de su categoría en funcionamiento. La segunda de ellas es por el origen de LoJax: un sistema antirrobo llamado justamente LoJack.
Los investigadores han determinado que LoJax es una modificación del software antirrobo LoJack. Este software, para poder rastrear equipos robados se instala en el firmware de la placa base, de este modo aunque los ladrones restauren el ordenador, seguirán pudiendo rastrearlo. Es más, incluso muchos equipos permiten la instalación fácil de LoJack por determinar que es un software "con buenas intenciones". Ejecutar el malware LoJax parece haber sido sencillo en tal caso.
Deshacerse de un malware (casi) imposible de eliminar
Aunque parezca prácticamente imposible deshacerse de LoJax si un equipo está infectado, lo cierto es que hay formas de hacerlo. La solución más simple y efectiva puede ser tirar el ordenador y destruir a martillzos la placa base. Pero sí no estás dispuesto a eso, ten en cuenta que reinstalar una y otra vez Windows no va a funcionar.
Lo que sí que funciona es instalar un nuevo firmware en la placa base. Modificar el UEFI no es tarea sencilla, pero sí que parece ser el único método real que elimine por completo LoJax. Y por supuesto, añadir un disco duro completamente restaurado previamente.
Vía | ESAT
Ver 110 comentarios
110 comentarios
DrKrFfXx
Eso no me pasa en mi máquina de escribir.
Zaxxon
Cuánto hijoputa suelto.
shengdi
Y la pregunta es... ¿Qué hace el Malware aparte de instalarse en el UEFI?
ads2801
Ir a tu marca placa base, buscar tu modelo, buscar la bios y flashearla. No tiene mucho más. Sí, es un proceso peligroso, pero para nada complicado, por regla general; y sobretodo desde que se instalaron las UEFI, simplificando bastante el proceso, en muchos casos, basta con descargar un ejecutable, ya sea un .exe o bat/batch o similar y listo, o accediendo a la aplicación de tu placa base, la cual dispone de la utilidad de actualización/ flasheo BIOS/UEFI, y en caso estricto, desde la propia BIOS, a través de una memoria USB, descargando el fichero adecuado, que lo encontrarás simplemente buscando tu modelo de placa base, no tiene más.
jhs92s
La pregunta que creo que estamos obviando todos es: ¿Cómo se sabe que tu ordenador con UEFI está infectado por este malware?
Hasta donde yo sé el antimalware o antivirus no puede detectar esta vulnerabilidad en forma de análisis, debido a que solo analiza el disco duro y el malware está ubicado en la UEFI, si me equivoco corregidme, pero, ¿hay alguna forma de averiguar si tu equipo tiene la UEFI infectada con este malware?
¿Es decir hay alguna o especie de detector de malware para UEFI?
hildon
https://libreboot.org
rennoib.tg
Supongo que será inmune al reseteo de placa base entiendo? Ya que solo afectaría a los valores modificables o configurables.
velocidad
No estoy muy puesto con el hardware actual, pero mi placa (Gigabyte) tiene doble bios, y una se usa para recuperar la otra en caso de fallo. Esta bios de respaldo no se puede modificar ni escribir.
Sería interesante saber si sigue existiendo esa posibilidad en la actualidad (en versión UEFI) y si este método es efectivo para evitar este malware.
gsm_atack
Doy por hecho que el Travel Mate del año 2002 es inmune , :))
sarlacc
No entiendo porque la bios o en este caso la uefi tiene que tener memoria reescribible si al final casi todos los mortales no hacemos o no tenemos necesidad de actualizar dicho firmware, ademas hoy en dia la mayoria de los ordenadores son tipo tablet y todo en uno y mas aun irreparable cuando fallan lo cual otra vez implica que nadie se le ocurre andar añadiendo hardware, deberian de poner la bios tal como viene con el hardware que trae y tener memoria de esas que no se pueden reescribir ya que en mi caso y en del la mayoria de peraonas no haces jamas una actualizacion de bios pues si finciona para que tocarlo y ni siquiera aporta nada nuevo y para el que quiera ordenadores modificables pues estan los clones o como le llamen a los que te armas tu mismo.
BlackHat
No sé si la culpa será de los rusos pero hay que entender que ningún otro país tiene más hackers que Rusia debido a que su sistema educación tiene muchas ciencias logicas que trae desde la era soviética.
rogerquerty
Lo del downgrade y upgrade supongo que funcionaría, aunque puedes directamente flashear la versión que ya tienes para evitarte el downgrade.
Lo del jumper no que va a funcionar: vas a resetear la hora y la bios volverá a los parámetros "por defecto", pero no vas a borrar ninguna modificación del firmware.
jcpb
Recientemente al analizar mi equipo con ESET Smart Security Premium 11.2.63.0 y activar la opción de "Habilitar la detección de aplicaciones potencialmente no seguras", encontré que en la ubicación "\\UEFI Partition" se aloja una amenaza llamada "una variante de EFI/CompuTrace.A aplicación potencialmente no segura" ciertamente no permite desinfectar o eliminar ya que es un componente del UEFI (Investigué y es el módulo para antirobo que Dell implementa en sus firmware de placa base), no sé si al final éste será un falso positivo con el que el antivirus ESET me quiere trollear...
* Cabe destacar que hace 2 días restauré el equipo cuando actualice a Windows 10 versión 1809 (October 2018 Update) ya que es una práctica que he tenido cada vez que cae una actualización grande al computador para evitar problemas de archivos sobrescritos, por lo que puedo asegurar que el sistema está "limpio" de programas de dudosa procedencia o navegación en páginas no seguras...
javierguadalupealvaradorosas
Entonces saldria mejor comprar una nueva maquina, que intentar arreglarla ya con el malware???
hectormadonar
Estos hackers juegan en la UEFI champions league
danisiorojas
Tampoco sucedía con mi vieja Compaq CQ43.
bryanezequielluna
Dos soluciones posibles en mi humilde colaboracion: primera es un downgrade de Bios, previa desactivacion del sistema de seguridad de la misma, hacerlo via dvd el downgrade, y luego subir de nuevo la version desde un pendrive normalmente. Otra seria quitar la pila y mover el jumper de bios. Me parece que los fabricantes de motherboards deberian hacerse cargo de este fallo, sino se van a ensuciar con esto en foros y demases.
alguiendemdp
Concuerdo que hace tal malware?
Supongo que sí los fabricantes lanzan actualizaciones oficiales de la UEFI se puede eliminar, no son normales las actualizaciones de BIOS pero existen. Ahora una pregunta cómo logra instalarse si la BIOS es una memoria ROM que no se sobreescribe? O acaso las UEFI no son ROM ?
onibahamut
Tan facil como hacer Downgrade o Upgrade. Seguramente solo afecte a un controlador de bios especifico, de un modelo especifico, de un año especifico.
Deberia ser tarea sencilla del fabricante sacar un parche que se instala desde el OS o bajado a memoria USB. Eso de tener que destrozar el CPU a martillazos es una barbaridad que solo demuestra el gusto por buscar el Click.
Articulo alarmista.
jettas
Y la imagen de cabecera es? Adivinaron una hermosa Mac, como todo el grupo de blogs tiene que darle pleitecia a Apple, hasta en reportajes que no viene al caso una imagen de los equipos de la manzana.
gabrielnino
Instalen Linux y adios virus...