?反病毒廠商卡巴斯基的一支安全威脅研究團(tuán)隊(duì)近日發(fā)現(xiàn)了名為“CosmicStrand”的惡意程序。事實(shí)上，這款惡意程序并不是新病毒，而且曾在 2016-2017 年爆發(fā)“Spy Shadow”木馬的更早版本。目前在華碩和技嘉的固件中發(fā)現(xiàn)了這款 UEFI 惡意程序，即使重新安裝 Windows 系統(tǒng)也無(wú)法移除這款 UEFI 惡意程序。

卡巴斯基表示現(xiàn)階段只有 ??Windows?? 系統(tǒng)受到攻擊：“現(xiàn)階段發(fā)現(xiàn)的所有攻擊設(shè)備都運(yùn)行 Windows 系統(tǒng)：每次電腦重啟，在 Windows 重啟之后將會(huì)執(zhí)行一段惡意代碼。該代碼的目的是連接到 C2（命令和控制）服務(wù)器，并下載額外可執(zhí)行的惡意程序”。

卡巴斯基在深度剖析 Securelist 文章中，對(duì)該惡意程序的運(yùn)行機(jī)制進(jìn)行了詳細(xì)的描述：

工作流程包括連續(xù)設(shè)置鉤子，使惡意代碼持續(xù)到OS啟動(dòng)后。涉及的步驟是：

1. 整個(gè)鏈條的起始是感染固件引導(dǎo)

2. 該惡意軟件在啟動(dòng)管理器中設(shè)置了惡意鉤，允許在執(zhí)行Windows的內(nèi)核加載程序之前修改它。

3. 通過(guò)篡改OS加載器，攻擊者可以在Windows內(nèi)核的功能中設(shè)置另一個(gè)鉤子。

4. 當(dāng)后來(lái)在OS的正常啟動(dòng)過(guò)程中調(diào)用該功能時(shí)，惡意軟件最后一次控制執(zhí)行流程。

5. 它在內(nèi)存中部署了一個(gè)殼牌碼，并與C2服務(wù)器聯(lián)系以檢索實(shí)際的惡意有效載荷以在受害者的機(jī)器上運(yùn)行。