Eind september vond de Bluehat Security-conferentie plaats in Redmond, waar de spyware met codenaam Lojax voorgesteld werd. Het stukje malware maakt gebruik van dezelfde bestandsnaam als Lojack, een beveiligings- en herstelfunctie die zich in de bios van heel wat pc's en laptops bevindt.
Lojax wordt op uefi-niveau weggeschreven, door middel van een tool genaamd 'Read Write Everything', een stukje software dat door ontwikkelaars gebruikt wordt om low level systeeminstellingen in te stellen en uit te lezen. RwDrv.sys is dus digitaal ondertekend en wordt door het besturingssysteem niet als kwaadaardig aanschouwd. Lojax wordt daarna bij elke boot opnieuw ingeladen, waardoor een herinstallatie van het besturingssysteem dus geen zin heeft.
De enige manier om de rootkit te verwijderen is om een originele uefi image opnieuw te flashen en het besturingssysteem opnieuw te installeren. Volgens Eset, die de malware voor het eerst opmerkten, is secure boot de beste preventiemethode, gezien de spyware dan niet ingeladen kan worden.
HP meldt nu dat ook zijn Sure Start het stukje code herkent en tegenhoudt. Tijdens een test van het bedrijf, waarbij de flash-chip fysiek verwijderd en teruggeplaatst moest worden om Lojax te kunnen 'installeren', werd de malware opgemerkt door Sure Start en werd het uefi teruggezet naar zijn originele staat.
Wat volgens HP zelfs nog belangrijker is, is het feit dat Sure View ook een log gemaakt heeft van dit event, wat volgens het bedrijf belangrijk is voor cybersecurity analisten.
Bron: HP
