Uso di linux per combattere il malware di Windows flash drive?

9

Ho appena inserito una vecchia unità flash che ho usato con una macchina Windows nel mio Linux. Ho notato molti file, per lo più exes che non erano mai visibili in Windows (la mia finestra non nasconde file e estensioni nascoste). Molti di quei file strani avevano nomi di malware. Ho cambiato le proprietà di questi file in modo che linux mi permettesse di eliminarli. Ha funzionato e ora l'unità sembra essere completamente pulita.

Se un malware di Windows in una flash drive può nascondersi da Windows, può nascondersi da Linux? In caso contrario, pulire malware di Windows su un'unità flash diventa facile.

    
posta FirstName LastName 22.03.2013 - 02:35
fonte

7 risposte

13

Sì, c'è un modo per nascondere un file da Esplora file di Windows e Linux, che è quello di avviare il nome del file con un punto . e impostare i flag h e s . In Windows che può essere fatto usando la riga di comando

ren file .file
attrib +h +s .file

Ora il file non può essere visto da Esplora file , Nautilus , o Konqueror nelle impostazioni predefinite su macchine pulite .

Quando colleghi il tuo flash disk su una macchina Linux e lo apri usando Nautilus, puoi premere Ctrl + H per mostrare tutti i file nascosti. Una soluzione migliore è usare la tua shell preferita per eseguire questo comando nella directory montata del flash disk.

ls -a

Nota: se si "pulisce" l'unità flash utilizzando Linux e quindi la si reinserisce nella macchina Windows sospetta, si può presumere che sia nuovamente infetta.

Aggiornamento: cercherò di rispondere alle tue preoccupazioni espresse da un punto di vista reale e pratico .

In primo luogo, in teoria. Lì è una possibilità che il computer Linux sia infettato da malware che lo costringe a nascondere determinati file (in particolare altri file malware). Ma in realtà, le possibilità sono molto scarse. Ma come qualsiasi cosa in sicurezza, non si può mai essere sicuri.

In pratica, collegando il disco flash infetto in una macchina Linux e rimuovendo tutti i file danneggiati (supponendo che faccia sappia cosa tutti i file danneggiati siano) garantisce con un alta probabilità che il tuo flash disk sia ora pulito. Finché non lo ricolleghi alla macchina Windows infetta, è sicuro utilizzarla tra le altre macchine Windows (supponendo che tu sia sicuro di quali macchine siano pulite).

    
risposta data 22.03.2013 - 09:09
fonte
5

Malware I file eseguibili di Windows su un'unità Flash hanno senso solo se, a un certo punto, vengono eseguiti su una macchina Windows. Ciò richiede che i file siano "visibili" a detta Windows, almeno dal punto di vista del kernel del sistema operativo. Il fatto che il file non venga visto tramite Esplora file di Windows significa che l'esploratore di file è sovvertito (cioè infetto da malware) o che ha un bug grave che impedisce di mostrare i file. In entrambi i casi, se i file .exe sono visibili da un sistema Linux ma non da un sistema Windows, è probabile che il sistema Windows sia corrotto. La pulizia dell'unità Flash non è sufficiente per curare la malattia ...

Il malware che infetta sia Linux che Windows è estremamente raro; quindi, si può ipotizzare, con una probabilità piacevolmente alta, che se una determinata unità Flash sembra "vuota" sia da un sistema Windows che da un sistema Linux, allora probabilmente è davvero vuota. Ciò non implica che entrambe le macchine siano "pulite".

    
risposta data 22.03.2013 - 03:45
fonte
3

Ci sono un paio di modi in cui questo potrebbe essere fatto, alcuni abbastanza esoterici come il patching del explorer.exe tale da "saltare" una lista nera specifica di file creati dall'autore del malware.

Altri metodi sono abbastanza semplici, come l'attributo di file system già citato.

Se si trattava di un'unità formattata NTFS, un altro metodo molto diffuso tra gli autori di malware amatoriali è utilizzare NTFS Alternate Flussi di dati , che Microsoft nella loro infinita saggezza ha deciso di nascondere sia dal programma explorer.exe che dal programma dir , rendendoli leggermente difficili da scavare senza gli strumenti appropriati.

Solo il secondo metodo di cui sopra, utilizzando flussi di dati alternativi, avrà alcun effetto su Linux. Se i moduli del kernel NTFS corretti non sono stati installati, quindi ADS 'sono ugualmente, se non di più, difficili da individuare su Linux a meno che non li cerchi specificatamente.

    
risposta data 26.03.2013 - 11:53
fonte
2

Sembra che tu voglia sapere come pulire in modo sicuro l'unità flash in modo da non lasciare malware su di esso quando viene reinserita nella macchina Windows. Un modo garantito per farlo è aprire "Gnome Partition Editor" che è disponibile su molte distribuzioni Linux di default (incluso Ubuntu).

Attenzione questo cancellerà tutti i dati sul tuo flash drive, eseguirà il backup di tutto ciò che vuoi salvare (ma non eseguire il backup del malware)

All'apertura di questo programma dovresti vedere i vari filesystem associati al tuo computer. Trova il tuo flash drive tra di loro. sotto le opzioni si dovrebbe scegliere di riformattare l'unità flash (io consiglio FAT 32 per un nuovo tipo di filesystem, che è l'impostazione predefinita per la maggior parte delle unità flash). Una volta riformattato, tutti i dati dovrebbero essere spariti e dovresti essere pronto.

Ecco una guida: link Nota che l'unità che stai cercando è la tua unità flash NON il tuo disco rigido

In caso contrario, trovarsi una copia di DBAN e scrivere zeri dritti attraverso l'unità flash. Quindi riformattalo come sopra in modo da poterlo riutilizzare. Questo è dispendioso in termini di tempo e probabilmente non necessario, ma se sei ancora preoccupato, questo farà il trucco.

Guida: link di nuovo, assicurati che l'unità che stai pulendo sia la tua unità flash. Se qualcosa non sembra giusto, NON FARLO! Le modifiche apportate qui sono irreversibili.

    
risposta data 01.04.2013 - 21:32
fonte
0

Non devi avere paura di collegare l'USB Drive potenzialmente pericoloso al tuo sistema Windows se lo configuri correttamente per prevenire l'infezione automatica.

Ad esempio, puoi utilizzare gpedit.msc e andare a:

- Computer Configuration
\ - Administrative Templates
 \ - Windows Components
  \ - AutoPlay Policies
    - Enable "Turn off AutoPlay" and select "All Drives"

Questo dovrebbe impedire l'infezione automatica del tuo sistema se è connessa un'unità USB con virus. Bisogna comunque stare attenti quando si tenta di aprire la Pen Drive, perché facendo ciò "facendo doppio clic sulla lettera" sarà avviare comunque il virus. Cerca invece la lettera dell'unità utilizzando la barra degli indirizzi di Esplora risorse di Windows (digita "E: \" per esempio) e poi Mostra le estensioni di Known tipi di file e Visualizza sistema e file nascosti abilitati, presumo che sarai in grado di identificare ed eliminare potenziali minacce anche durante l'utilizzo del sistema operativo per cui è stato progettato questo virus.

    
risposta data 01.04.2013 - 18:31
fonte
0

Le unità flash USB contengono un controller per memoria flash con una CPU e un firmware integrati. In molti casi è possibile modificare il firmware in modo tale che un file pulito venga sostituito con una versione infetta da malware del file quando vengono soddisfatte determinate condizioni, come i modelli di accesso associati all'accesso alle unità di Windows o all'avvio del sistema x86 da di USB. È anche possibile che il flash drive si trasformi in qualsiasi altro dispositivo USB, come ad esempio l'aggiunta di un'unità CD-ROM USB accanto al flash drive (alcuni firmware di default di unità flash supportano questa funzione che può essere abilitata), o cambiandosi in una tastiera USB.

Dovrebbe essere ovvio che cancellare completamente l'unità flash con mezzi generici non rimuoverà tali malware.

Questi attacchi sarebbero molto rari e avanzati e, oltre a richiedere strumenti speciali specifici per il controller flash, la rimozione di tali malware potrebbe in alcuni casi essere impossibile o richiedere una riparazione a livello di hardware.

    
risposta data 03.02.2018 - 06:03
fonte
-2

In primo luogo, sì, un file Windows nascosto sarà visibile in Linux e non solo visibile, ma modificabile, cancellabile ... Puoi fare quello che vuoi. Ecco perché una delle best practice sulla sicurezza più importanti non consente l'accesso fisico al sistema. Puoi immaginare quanto possa essere dannoso eseguire un livecd. Come prevenire questo? Crittografia delle partizioni.

In secondo luogo, se l'unità flash è vuota in Linux, probabilmente è pulita. Ricordati di pulire Windows prima di usarlo di nuovo.

    
risposta data 26.03.2013 - 15:37
fonte

Leggi altre domande sui tag