Ny trojan för Windows attackerar via moderkortet – raderas inte vid formatering

hacker-attack-cracker-cyberthreat-malware
Bildkälla: Pixabay / TheDigitalArtist

Säkerhetsforskare på firman Kaspersky Lab har identifierat en ny trojan – vilket är ett skadeprogram, även kallat malware – som inte tas bort från Windows även om du ominstallerar hela operativsystemet.

Trojanen använder datorns UEFI (Unified Extensible Firmware Interface), en liten minneskrets på moderkortet med mjukvara som bland annat styr uppstarten av datorn, för att bita sig fast. Kretsen är helt separat från hårddisken vilket gör att en formatering inte räddar dig från trojanen.

Trojanen skapar en fil som heter IntelUpdate.exe i uppstartsmappen till Windows. Även om du tar bort filen manuellt så återskapas den av trojanen som finns i UEFI-kretsen på moderkortet.

Skadeprogrammets syfte i det här fallet är att ladda ner hackerverktyg via internet och installera dem på datorn. Därigenom får hackare åtkomst till datorn och kan exempelvis stjäla filer och lösenord, och göra en massa annat otyg.

Risken att du drabbas är extremt liten

Idag är det inte känt hur trojanen installerar sig själv på UEFI-kretsen. Det är inte heller känt vilka datormodeller som är sårbara för skadeprogrammet.

Nämnvärt är att det inte är enkelt att installera den här typen av skadeprogram. Du kan exempelvis inte surfa in på ”fel” webbsajt och vips få ett skadeprogram som installeras i UEFI-kretsen hur som helst. Det krävs avancerad mjukvara och specifik kunskap om den minneskrets samt mjukvaran som finns på just din dator.

Sannolikheten att just du drabbas av den här trojanen är i princip obefintlig. Om du inte råkar vara ett speciellt utvalt mål för en riktad attack.

Det är inte helt bestämt vem som ligger bakom trojanen. Kaspersky Labs har hittat tydliga referenser till kinesiska hackergruppen Winnti, en grupp med statliga kopplingar vilket gör trojanen extra intressant.

Kaspersky Labs har hittat två offer för trojanen som ska vara viktiga personer i regionerna Afrika, Asien och Europa. Individerna är enligt uppgift kopplade till Nordkorea på något vis.

Lästips: Allvarlig sårbarhet i Apples prylar – hackergrupp bevisar säkerhetshål