Il malware persiste dopo aver cancellato il disco rigido e reinstallato il sistema operativo dal disco del produttore? [duplicare]

Naviga le tue risposte
7

Questa domanda è correlata a un computer in cui gli utenti diversi dal proprietario hanno avuto accesso per periodi di diverse ore alla volta. I seguenti passi sono stati fatti per pulire il computer:

  1. Assistente partizioni usato per cancellare sia la partizione principale che la partizione di ripristino.

  2. Avviata un'installazione pulita di Windows utilizzando un disco di ripristino acquistato dal produttore.

Se uno esegue i seguenti passaggi, rimuoverà tutto il malware da un computer compromesso? In caso contrario, sono necessari ulteriori passaggi per proteggere il computer da malware nel firmware o in altri percorsi di difficile accesso?

    
posta MM1926 30.03.2016 - 05:38
fonte

3 risposte

6

Sì, e ci sono stati casi in cui questo è stato memorizzato in diverse aree del computer, un classico esempio può essere trovato al seguente URL:

link

Questo articolo fornisce ulteriori dettagli su come funziona

link

Un'altra area interessante sta avendo il malware memorizzato nelle schede video, sebbene questo potrebbe non essere persistente in futuro questo tipo di attacco potrebbe diventare molto interessante.

link

    
risposta data 30.03.2016 - 07:40
fonte
4

In generale e al momento (2016), pulire e reinstallare è solitamente sufficiente per un utente ordinario. Ma nota i qualificatori; gli autori di malware sono spesso abbastanza intelligenti e si adattano rapidamente a nuove idee.

Il problema alla base della domanda è, in cui il codice che viene eseguito automaticamente, esiste su un computer. La risposta attuale a questo è, in qualsiasi dispositivo o componente che ha firmware (o ha circuiti che facilitano il firmware o il codice segreto) - e sfortunatamente è quasi tutto. La maggior parte dei virus viene archiviata in normali spazi del disco che i programmi antivirus controllano regolarmente. Ma oltre questo c'è un regno di altre località, spesso completamente non controllabili al momento. Alcuni sono noti per essere stati sfruttati, ma solo per stati nazione (NSA ecc.) E altri sono stati dimostrati dai ricercatori della sicurezza (bad-usb è uno). La cosa buona è che attualmente non sono vettori comuni per malware per utenti ordinari.

Detto questo, ecco alcuni esempi di vettori di malware e abilità di snooping / logging che non verranno riparati reinstallando o cancellando, per darti incubi .......

  • Computer bios (o uefi) - il firmware del computer principale

  • Nel firmware del disco rigido (e sezioni nascoste dell'HD accessibili) - ciò che non può essere visto non può essere cancellato e il firmware HD ha il controllo totale su quali dati vengono inviati al computer quando viene richiesta una lettura del disco e se i dati reali vengono modificati o meno. Questi sono già stati usati dalla NSA ecc.

  • Nei dispositivi di input o dispositivi utilizzati per collegare dispositivi di input - dongle per tastiera, dongle per mouse, keylogger hardware, dispositivi USB e Bluetooth che si presentano silenziosamente come mouse / tastiera falsi per eseguire comandi, dispositivi touchscreen che registrano o falsi inserito dall'utente, ...

  • Schede e altri dispositivi collegabili (grafica, rete, WiFi, il tuo nome) che presentano interfacce a livello hardware o software o hanno accesso diretto a RAM, nel loro firmware.

  • Potenzialmente la CPU stessa, nel suo microcodice.

  • Dispositivi di output (un dongle o un nucleo di ferrite falso su un cavo del monitor che può registrare il segnale rgb e decodificare o in avanti trasmettere lo schermo altrove).

  • Connessioni di rete nascoste - dispositivi che contengono una capacità di rete segreta che non è un virus ma che possono essere utilizzati per ottenere l'accesso nascosto ...

  • Accessori dannosi: i caricatori di mele finti in una volta contenevano funzionalità di malware.

  • nel sistema operativo stesso (supporto di installazione difettoso o falso, codice nascosto nel codice sorgente o aggiunto ad esso in modo non autorizzato da un insider, terza parte o distributore, sconosciuto agli autori).

  • Nel codice attendibile si esegue nuovamente il download o la reinstallazione quasi "di serie" dopo aver cancellato il disco (si pensi a Microsoft Office o MySQL offline o ai programmi di installazione per il download Web) ...

  • Nelle librerie standard e nel software fidato "nascosto in bella vista". Google le competizioni per la subcultura C e le competizioni cripto subdole dove il codice apparentemente pulito deve raggiungere segretamente un risultato malevolo.

Sì, è spaventoso, e nessuno è veramente chiaro su cosa fare per proteggerlo, tranne che per fidarsi di ciò che è raro e mirato. Quale, finora, è.

    
risposta data 30.03.2016 - 10:26
fonte
0

La risposta è sì e no.

Sebbene la maggior parte dei produttori non fornisca un disco di ripristino contenente malware, recentemente sono state fornite notizie sul malware di spedizione del produttore preinstallato ed è probabile che il disco di ripristino contenga lo stesso malware.

Inoltre, esistono virus del settore di avvio in grado di resistere alla reinstallazione del sistema operativo.

L'ultima cosa che vorrei aggiungere, non inserire memory stick USB dopo l'installazione recente a meno che non si sia sicuri che siano sicuri e puliti.

Per essere sicuro di non avere malware, scarica il sistema operativo dallo sviluppatore originale, ad esempio Microsoft. E usa alcuni strumenti di avvio dal vivo per controllare il settore di avvio dopo aver cancellato il disco rigido.

    
risposta data 30.03.2016 - 08:34
fonte

Leggi altre domande sui tag

Smaltimento sicuro del disco rigido: come cancellare le informazioni riservate Puoi dire se esiste una pagina anche se lancia un 404?