Китайский UEFI-вирус MoonBounce невозможно удалить даже заменой жесткого диска

Эксперты из антивирусной компании «Лаборатории Касперского» обнаружили новый компьютерный вирус MoonBounce, который отличается относительной сложностью и работает на уровне прошивки UEFI. Специалисты утверждают, что вирус создан китайской кибернетической группой APT41 (Winnti), специализирующейся на атаках против крупных компаний из различных сфер деятельности. Работает группа уже более 10 лет.

UEFI (Unified Extensible Firmware Interface - единый интерфейс расширяемой прошивки) предназначен для связи операционной системы с микропрограммами, которые управляют низкоуровневыми функциями оборудования. Помещение «UEFI-буткита» в прошивку обеспечит защиту от антивирусов, которые работают на уровне операционной системы. Ранее такая технология была применена при создании вирусов FinFisher и ESPecter.


Противостоять вирусу MoonBounce достаточно сложно, так как зловред запускается еще до начала работы компонентов безопасности операционной системы. В борьбе с вирусом MoonBounce, расположенном в SPI-памяти материнской платы, не поможет даже замена жесткого диска.