[KB6567] - Détection UEFI par ESET
Problématique
• Résolution des détections UEFI par ESET (par exemple, EFI/CompuTrace, Win32/CompuTrace, EFI/Lenovo, Win32/Lenovo)
• Comment protéger votre ordinateur contre les malwares UEFI
• ESET détecte des malwares ou applications UEFI
Détails – Détections UEFI
Les détections UEFI sont spécifiques au firmware matériel concerné, c’est pourquoi ESET ne peut pas les supprimer directement.
Le firmware UEFI est chargé en mémoire au tout début du processus de démarrage. Il est stocké dans une puce mémoire flash soudée à la carte mère. En cas d’infection par des attaquants, il peut héberger un malware capable de survivre à une réinstallation système, un redémarrage ou même un remplacement du disque dur. Ce type de menace peut passer inaperçu car la plupart des solutions antimalwares ne scannent pas la couche firmware.
Le scanner UEFI d’ESET ajoute une couche de protection pionnière contre les bootkits UEFI en analysant les menaces directement dans le firmware.
Produits ESET intégrant le scanner UEFI
- ESET Mail Security pour Microsoft Exchange Server (v8+)
- ESET File Security pour Microsoft Windows Server (v8+)
- ESET Security pour Microsoft SharePoint Server (v8+)
- ESET Mail Security pour IBM Domino (v8+)
- ESET Smart Security Premium (v17+)
- ESET Internet Security (v17+)
- ESET NOD32 Antivirus (v17+)
- ESET Endpoint Security/Antivirus (v8.1+)
Solution – Résolution des détections UEFI
Si vous n’êtes pas à l’aise avec les paramètres UEFI ou les processus de mise à jour/flash, il est recommandé de faire appel à un professionnel expérimenté.
- Mettez à jour le firmware via le fabricant de l’ordinateur, puis relancez une analyse avec le scanner UEFI d’ESET.
- Si la détection persiste, contactez le fabricant pour qu’il supprime l’élément problématique du firmware.
- Excluez la détection dans votre produit ESET si vous avez activé la détection des applications potentiellement dangereuses et que le fabricant ne retire pas l’application.
* Utilisateurs particuliers : Exclure une application par nom dans les produits Windows ESET pour particuliers.
* Utilisateurs professionnels : Ajouter/modifier des exclusions dans le produit endpoint ou dans ESET PROTECT.
- Désactivez la détection des applications potentiellement dangereuses dans votre produit ESET (utilisateurs pro ou particuliers).
- Reflashez la mémoire flash SPI contenant l’UEFI (opération complexe à effectuer avec l’aide du fabricant).
- Pour des informations détaillées, consultez l’article suivant : « Lojax: premier rootkit UEFI trouvé dans la nature (Sednit group) ».
- Si vous pensez qu’il s’agit d’un faux positif, soumettez la détection au laboratoire de malwares ESET.
Comment se protéger des malwares UEFI
- Utilisez un ordinateur avec un chipset récent (Intel série 5 ou supérieur).
- Vérifiez que le démarrage sécurisé (Secure Boot) est activé.
- Mettez à jour le firmware UEFI même en l’absence de détection : cela limite les risques d’infection à titre préventif.
Détection par ESET de malwares ou applications UEFI
Le scan UEFI est disponible dans les versions récentes des produits ESET.
Par défaut, la détection des applications potentiellement dangereuses ou indésirables est désactivée.
Les infections UEFI étant très spécifiques au firmware, ESET peut uniquement détecter et notifier leur présence.
L’analyse UEFI est effectuée uniquement au démarrage ou à la demande, lorsque l’option 'Boot sectors/UEFI' est activée.