Herkes virüsleri, Truva atlarını ve diğer kötü amaçlı yazılımları kontrol etmek için Google’ın yan kuruluşu Virustotal.com’a dosya yükleyebilir. 50’den fazla tarama motoruyla ücretsiz virüs taraması artık dosya olarak yüklenen sabit yazılım ve BIOS görüntüleri ile bile çalışıyor. Bunu bir Asus anakart için paketlenmemiş bir BIOS güncellemesiyle test ettik.
Bir blog gönderisinin açıkladığı gibi Virustotal, BIOS (UEFI) görüntülerini daha kapsamlı bir şekilde tarayarak önyükleme kitleri veya BIOS virüsleri gibi içlerinde gizlenmiş kötü amaçlı kodları algılamaya çalışır. Hatta bazı BIOS görüntüleri, örneğin Absolute’un (eski adıyla Computrace) hırsızlığa karşı korumalı dizüstü bilgisayarlarında yürütülebilir Windows dosyaları içerir.
Virustotal.com çevrimiçi hizmeti artık dosyaların (Windows yürütülebilir dosyaları) yanı sıra UEFI BIOS görüntüleri gibi üretici yazılımlarını da tarar.
Virustotal’ın “Dosya Ayrıntıları” sekmesine tıkladıktan sonra kapsamlı analiz işlevlerinden zengin sonuçlar sunması özellikle ilginçtir. Virustotal, Teddy Reed’in Python’da yazılmış UEFI ayrıştırıcısını kullanır. Modüler bir UEFI BIOS ile, birçok bağımsız işlevin her biri, PE veya PE32 biçiminde taşınabilir bir yürütülebilir dosyada paketlenmiştir. Örneğin, Asus Z170-A anakartı için yüklediğimiz BIOS güncellemesi 1602, USB fare kontrolü ve NVMe önyükleme desteği için sürücülerin yanı sıra hız aşırtma araçlarını içerir.
Asus, BIOS’ta Windows DLL’lerini de içerir. Asio.dll ve atkex.dll dosyaları, Virustotal’a yüklenemeyen Z170-A BIOS 1602’ye dahildir. Bu adlar ayrıca bir Windows kurulumunun kayıt defterinde görünür ve muhtemelen BIOS güncellemeleri işlevi olan Asus AI Suite yazılımına atıfta bulunur.
Güvenli Önyükleme Anahtarı
Örneğin, UEFI Güvenli Önyükleme için gerekli olan ve BIOS görüntüsünde depolanan PEM biçimli şifreleme anahtarları da ilginç bilgiler sağlar. Yukarıda belirtilen Asus Z170-A BIOS 1602 için Microsoft ve Asus’tan gelen anahtarlar şaşırtıcı değil, ancak muhtemelen Ubuntu Linux’u güvenli bir şekilde başlatmak için Canonical’dan bir anahtar var.
Diğer yüklenen dosyalarda olduğu gibi, Virustotal da her ürün yazılımı görüntüsü için bir SHA256 karması oluşturur ve sonuçları kaydeder. Bu şekilde, analizler karşılaştırılabilir ve daha sonra alınabilir. Bahsedilen blog gönderisi, Dell, HP ve Lenovo dizüstü bilgisayarlar için BIOS güncellemelerinin bazı analizlerini birbirine bağlar. Bu nedenle, bir Lenovo BIOS’u, BIOS’a bağlanan sistemden tamamen kaldırılamayan, muhtemelen istenmeyen önceden yüklenmiş yazılımlara ait olan yürütülebilir Windows dosyaları içerir.
(ciw)
Haberin Sonu
Bir blog gönderisinin açıkladığı gibi Virustotal, BIOS (UEFI) görüntülerini daha kapsamlı bir şekilde tarayarak önyükleme kitleri veya BIOS virüsleri gibi içlerinde gizlenmiş kötü amaçlı kodları algılamaya çalışır. Hatta bazı BIOS görüntüleri, örneğin Absolute’un (eski adıyla Computrace) hırsızlığa karşı korumalı dizüstü bilgisayarlarında yürütülebilir Windows dosyaları içerir.
Virustotal.com çevrimiçi hizmeti artık dosyaların (Windows yürütülebilir dosyaları) yanı sıra UEFI BIOS görüntüleri gibi üretici yazılımlarını da tarar.
Virustotal’ın “Dosya Ayrıntıları” sekmesine tıkladıktan sonra kapsamlı analiz işlevlerinden zengin sonuçlar sunması özellikle ilginçtir. Virustotal, Teddy Reed’in Python’da yazılmış UEFI ayrıştırıcısını kullanır. Modüler bir UEFI BIOS ile, birçok bağımsız işlevin her biri, PE veya PE32 biçiminde taşınabilir bir yürütülebilir dosyada paketlenmiştir. Örneğin, Asus Z170-A anakartı için yüklediğimiz BIOS güncellemesi 1602, USB fare kontrolü ve NVMe önyükleme desteği için sürücülerin yanı sıra hız aşırtma araçlarını içerir.
Asus, BIOS’ta Windows DLL’lerini de içerir. Asio.dll ve atkex.dll dosyaları, Virustotal’a yüklenemeyen Z170-A BIOS 1602’ye dahildir. Bu adlar ayrıca bir Windows kurulumunun kayıt defterinde görünür ve muhtemelen BIOS güncellemeleri işlevi olan Asus AI Suite yazılımına atıfta bulunur.
Güvenli Önyükleme Anahtarı
Örneğin, UEFI Güvenli Önyükleme için gerekli olan ve BIOS görüntüsünde depolanan PEM biçimli şifreleme anahtarları da ilginç bilgiler sağlar. Yukarıda belirtilen Asus Z170-A BIOS 1602 için Microsoft ve Asus’tan gelen anahtarlar şaşırtıcı değil, ancak muhtemelen Ubuntu Linux’u güvenli bir şekilde başlatmak için Canonical’dan bir anahtar var.
Diğer yüklenen dosyalarda olduğu gibi, Virustotal da her ürün yazılımı görüntüsü için bir SHA256 karması oluşturur ve sonuçları kaydeder. Bu şekilde, analizler karşılaştırılabilir ve daha sonra alınabilir. Bahsedilen blog gönderisi, Dell, HP ve Lenovo dizüstü bilgisayarlar için BIOS güncellemelerinin bazı analizlerini birbirine bağlar. Bu nedenle, bir Lenovo BIOS’u, BIOS’a bağlanan sistemden tamamen kaldırılamayan, muhtemelen istenmeyen önceden yüklenmiş yazılımlara ait olan yürütülebilir Windows dosyaları içerir.
(ciw)
Haberin Sonu