Potenziale malware UEFI da Virus Total. scan

Question

Potenziale malware UEFI da Virus Total. scan

#1 da (1 voti)

0

Ho scaricato il firmware sul mio Macbook con Darwin Dumper e caricato il file .rom file in Virus Totale e ha mostrato un'enorme quantità di cattive immagini PE32 (scheda Dettaglio file), che sembrano tutte essere rilevate da Cylance / Trapmine / Cybereason come Unsafe / sospicious.low.ml.score / malicious. random 6 char- stringa lunga , rispettivamente.

La cosa più strana è che 3 giorni fa è stato caricato un file file con risultati identici. Stesso modello di Macbook, ROM, versione EFI, nomi di file ROM e avvisi.

Qualcuno può spiegarmi cosa significano questi risultati? Non dovrei mai più fidarmi di questo computer? Sono anche molto preoccupato per il file identico qualche giorno fa, non sono i dump del firmware unici per ogni sistema? Oppure le macchine dello stesso modello hanno gli stessi dump del firmware, cioè tutti gli MB Air Mid-2012 avranno lo stesso dump?

bios malware virus uefi

posta ffdd992 01.12.2018 - 08:06

fonte

1 risposta

Leggi altre domande sui tag bios malware virus uefi

Intermediazione sicura dei messaggi Come funzionano le truffe SEO?

score 1 · Answer 1

... aren't firmware dumps unique for each system?

Il firmware di sistema è il software specifico per l'hardware - con lo stesso hardware ci si può aspettare lo stesso firmware e anche con hardware diverso potrebbe essere utilizzato lo stesso firmware poiché l'hardware è spesso simile o solo una parte del firmware viene utilizzata con l'hardware installato . Questo non è molto diverso da altri software, ad esempio MS Office è lo stesso binario per migliaia di sistemi.

it showed a huge amount of bad PE32 images

PE32 sono perfettamente normali su UEFI. Dal link :

UEFI executables are regular PE32 / PE32+ (Windows x32 / x64) images, with a specific subsystem. Every UEFI application is basically a windows EXE (or DLL) without symbol tables.

Perchè queste immagini sono pessime:

all of which seem to be detected by Cylance/Trapmine/Cybereason as Unsafe/suspicious.low.ml.score/malicious.random 6 char-long string respectively.

Questi sembrano essere solo euristiche applicate qui, non pattern di malware noto. Con l'euristica di solito ottieni un alto tasso di falsi positivi (rilevando qualcosa che non è malizioso come dannoso) se vuoi anche ottenere un alto tasso di positività reale (non perdere nessuna potenziale malizia). La mia ipotesi è che questi sono semplicemente dei falsi positivi dato che solo pochi motori lo trovano.