Приобретённый компанией Google в 2012 году веб-сервис VirusTotal теперь позволяет «проверять на вредоносность» не только подозрительные файлы и ссылки, но и коды BIOS или UEFI. Об этом и многом другом в официальном блоге VirusTotal рассказывает сотрудник компании по вопросам информационной безопасности Франсиско Сантос.
«Поскольку BIOS обеспечивает запуск компьютера и загрузку операционной системы, его компрометация позволяет взломщикам внедрить вредоносное ПО, от которого невозможно избавиться перезагрузками, удалением или даже чистой переустановкой системы. И поскольку антивирусные программы не проверяют этот уровень, угроза может оставаться незамеченной», – говорится в сообщении Сантоса. – «На сегодняшний день VirusTotal тщательно проверяет образы микропрограммного обеспечения на предмет вредоносности».
Стоит отметить, что для проверки сервис использует движки сторонних антивирусных компаний.
Исследователи могут загружать вредоносное ПО на сайт VirusTotal для получения названий антивирусных продуктов, которые могут распознать вредоносный код. Помимо маркировки образов прошивок, новый VirusTotal предлагает возможность извлечения сертификатов и исполняемых файлов. Упоминается также возможность извлечения файлов формата PE (Portable Executable). По словам Сантоса, очень часто вредоносное ПО скрывается именно в файлах PE.
«Следующим большим шагом» для инструмента проверки прошивки VirusTotal, как сообщает Сантос, может стать внедрение возможности создания файла дампа BIOS для дальнейшего анализа средствами сервиса VirusTotal.
Источник: VirusTotal и Engadget