Un virus può essere memorizzato da qualche altra parte rispetto al disco rigido?

136

Esistono virus che sono riusciti a nascondersi da qualche altra parte rispetto al disco rigido? Ti piace la cache della CPU o sulla scheda madre?

È persino possibile? Diciamo che ho un virus, quindi mi sbarazzo dell'HDD e ne installo uno nuovo. Il virus potrebbe ancora essere sul mio PC?

    
posta ivan_bilan 21.04.2016 - 11:06
fonte

11 risposte

201

Un sacco di posti:

L'hardware moderno ha una vasta gamma di archivi di dati persistenti, solitamente usati per il firmware. È troppo costoso spedire un dispositivo complesso come una GPU o una scheda di rete e inserire il firmware in una maschera ROM dove può 'essere aggiornato, quindi avere un errore causa richiami di massa. In quanto tale, hai bisogno di due cose: una posizione scrivibile per quel firmware e un modo per mettere in atto il nuovo firmware. Ciò significa che il software del sistema operativo deve essere in grado di scrivere dove è memorizzato il firmware nell'hardware (in genere EEPROM).

Un buon esempio di questo è lo stato delle moderne utility di aggiornamento BIOS / UEFI. È possibile acquisire un'immagine UEFI e un eseguibile in esecuzione sul proprio sistema operativo (ad esempio Windows), fare clic su un pulsante e gli aggiornamenti UEFI. Semplice! Se si esegue il reverse engineer su come funzionano (cosa che ho fatto alcune volte) si tratta principalmente del caricamento di un driver in modalità kernel che preleva i dati della pagina dall'immagine UEFI e dialoga direttamente con il chip UEFI usando out istruzioni, inviando i comandi corretti per sbloccare il flash e avviare il processo di aggiornamento.

Naturalmente ci sono alcune protezioni. La maggior parte delle immagini BIOS / UEFI non verrà caricata a meno che non siano firmate dal fornitore. Naturalmente, un attaccante abbastanza avanzato potrebbe semplicemente rubare la chiave di firma dal venditore, ma questo sta entrando nelle teorie cospirative e nei divini attori della minaccia, che non sono realistici da combattere in quasi nessuno scenario. I motori di gestione come IME sono pensati per avere certe protezioni che impediscono l'accesso alle sezioni di memoria anche da codice ring0, ma la ricerca ha dimostrato che ci sono molti errori là fuori e molte debolezze.

Quindi, tutto è fregato, giusto? Bene, sì e no. È possibile mettere rootkit nell'hardware, ma è anche incredibilmente difficile. Ogni singolo computer ha una tale variazione nelle versioni hardware e firmware che è impossibile creare un rootkit generico per la maggior parte delle cose. Non si può semplicemente ottenere un BIOS Asus generico e farlo lampeggiare su qualsiasi scheda; lo ucciderai. Dovresti creare un rootkit per ogni tipo di scheda separata, a volte fino all'intervallo di revisione corretto. È anche un'area di sicurezza che implica un'enorme quantità di conoscenza cross-domain, molto profonda per l'hardware e gli aspetti operativi a basso livello delle moderne piattaforme informatiche, oltre a una solida conoscenza di sicurezza e crittografia, quindi non sono in grado di farlo.

È probabile che tu venga preso di mira? No.

È probabile che ti infetti un rootkit BIOS / UEFI / SMM / GPU / NIC-residente? No.

Le complessità e le differenze coinvolte sono semplicemente troppo grandi perché l'utente medio possa mai realisticamente doversene preoccupare. Anche da un punto di vista economico, queste cose richiedono una quantità eccessiva di capacità, risorse e denaro per essere costruite, quindi bruciarle sul malware dei consumatori è un'idiota. Questi tipi di minacce sono così mirati che appartengono davvero solo al modello di minaccia dello stato nazionale.

    
risposta data 21.04.2016 - 11:42
fonte
41

La risposta breve alla tua domanda è sì.

Ecco alcuni posti in cui un virus potrebbe nascondersi:

  • Nel firmware del tuo tastiera, mouse, webcam, altoparlanti, ecc. Fondamentalmente qualsiasi cosa tu colleghi al tuo computer che ha un firmware scrivibile.
  • Sul tuo firmware del disco rigido . Qualcosa sul tuo disco rigido, ma sopravvive ancora a una riformattazione. L'NSA è probabilmente sospettato di quello.
  • Nel tuo BIOS o UEFI .
  • In passato, settori di avvio dei floppy disk. Questo era uno standard tra i primi virus, dal momento che al momento i floppy disk erano spesso usati come storage primario. Lo stesso vale per le chiavette USB ora.

Un virus potrebbe potenzialmente indirizzare qualsiasi cosa in cui siano presenti dati scrivibili che vengono trattati come codice eseguibile. Su un computer, questo è praticamente ovunque. Per sopravvivere a un riavvio, però, dovrebbe essere una sorta di memoria persistente. Quindi la cache della CPU potrebbe non essere il posto migliore in cui nascondersi.

La maggior parte dei virus non lo fa, però, e vive solo sull'HDD. Questo perché gli autori di virus sono (razionalmente) pigri. Perché scegliere le opzioni complicate quando c'è abbondanza di frutta bassa?

    
risposta data 21.04.2016 - 11:30
fonte
13

Uno dei luoghi più comuni ma non controllato è ... una periferica con "disco del driver incorporato", come molte chiavette USB 3G / 4G. Hanno - tecnicamente - un hub all'interno, e un Generic Storage + il dispositivo stesso su di esso. L'aggiornamento del firmware di solito aggiorna un'immagine del disco montata sulla parte di memoria generica. È di sola lettura da PC in uso normale, ma è facilmente rimappato come un CD-ROM con autoplay . Quello che ho sperimentato nel 2006-2008 è stato un bastone 4G per un fornitore di cellule locali. Conteneva CD-ROM come storage out-of-the-box dal punto di vendita locale, autoplay e torjan inclusi =) Prossima patch del firmware - e una memoria è rimappata su HDD e nessun virus a bordo.

    
risposta data 21.04.2016 - 16:51
fonte
11

Il problema principale per qualsiasi tipo di archiviazione è che il sistema deve essere disposto a eseguire il malware. Durante l'avvio del sistema operativo questo significa che deve essere da qualche parte come un eseguibile, DLL, driver o simili sul disco rigido. Non ha bisogno di essere completamente lì, cioè può essere una piccola roba caricabile e il resto può risiedere altrove (anche nella rete).

Ma il malware può anche essere caricato prima che il sistema operativo venga eseguito. Il caricamento del sistema operativo è controllato dal BIOS o UEFI, quindi se il malware è già contenuto in questa fase, è fuori dal controllo del sistema operativo. Per un esempio vedi Team di hackeraggio il malware utilizza un rootkit UEFI per sopravvivere alle reinstallazioni del sistema operativo .

A parte il fatto che hai un firmware sulla scheda di rete, sulla scheda grafica, sul disco fisso ecc. e spesso possono essere sostituiti. Quindi alcuni malware potrebbero nascondersi anche lì e modificare il comportamento del sistema, vedere Come funziona l'hacking del firmware della NSA e Perché è così sconvolgente .

    
risposta data 21.04.2016 - 11:31
fonte
6

Ci sono state alcune cose che mi sono venute in mente quando ho letto la domanda che va oltre lo scopo dell'esempio dato. Esistono altri luoghi in cui un virus può essere memorizzato anche su un disco rigido o persino su un computer. Un paio di quei luoghi sarebbero batteri (in particolare E. coli) e il tuo DNA .

Secondo alcune ricerche effettuate in cerca 2010 che hanno dimostrato che E. coli potrebbe non solo archiviare dati (o un virus) ma anche offrire la bio-crittografia.

Più di recente, gli scienziati hanno scoperto che possono memorizzare fino a 700 TB di dati in 1 grammo di DNA. Il vantaggio sarebbe che è una memoria a lungo termine se correttamente conservata.

Quindi, mentre l'industria tecnologica si avvicina alla tecnologia di integrazione e alla nostra biologia, potrebbe dover guardare oltre il nostro disco rigido, BIOS, memoria, GPU, ecc.

    
risposta data 22.04.2016 - 00:25
fonte
5

Oltre alla risposta eccellente di Polynomial, ci sono altre opzioni:

  • un altro dispositivo sulla rete, ovviamente (ad esempio un altro computer che infetta le condivisioni di samba, il router che aggiunge l'exploit alla sua pagina web, ...)
  • Dispositivo USB (ad es. flash disk) che passa segretamente a una tastiera e digita / scarica il malware sul computer host
risposta data 21.04.2016 - 18:15
fonte
2

Non sono sicuro se qualche altra parte del computer sia stata utilizzata dal virus, ma molto tempo fa si è imbattuto in BADBIOS

Che cosa biografie negative fare?

Radio (SDR) program code, even with all wireless hardware removed.


It is said to infect the firmware on USB sticks.

It is said to use TTF (font) files, apparently in large numbers, as a vector when spreading.

Oltre a quanto sopra non è solo il virus che attacca una macchina, ma ci sono molti tipi di rootkit disponibili come rootkit PCI

In sintesi, il virus può risiedere al bios o a qualsiasi fonte, ma richiede un punto di esecuzione che non ha hardware.

Modifica dopo domanda:

Come da domanda, sì c'erano possibilità di virus che potevano trasferire al tuo nuovo hdd, per esempio considera rootkit come medusa , ma in particolare questi casi erano rari per i normali utenti finali

    
risposta data 21.04.2016 - 11:18
fonte
2

La risposta è SI, possono nascondersi in molti altri luoghi, non solo nell'HDD, ma anche in altri dispositivi di archiviazione collegati al PC.

  • Nei primi giorni, ho avuto molto problema con l'opzione "Autorun" CD / DVD nel mio Microsoft Windows. I virus erano così in grado di creare automaticamente "Autorun.inf" in un supporto di masterizzazione e utilizzarli per eseguire e infettare automaticamente nel nuovo PC quando inserisco la ROM interessata nel lettore.

  • L'uso di virus per infettare automaticamente l'unità flash USB e diffondersi autonomamente se l'unità flash viene inserita nel sistema non infetto.

Queste sono due aree principali, in cui devi concentrarti principalmente.

Se sei riuscito a rimuovere Virus dal tuo HDD, non dimenticarti di controllare il registro di Windows in questi percorsi: (credetemi, ho disabilitato molti file Virus in esecuzione, rimuovendo voci sconosciute dai siti sottostanti);

Esegui "regedit" per aprire l'editor del registro di Windows e naviga per controllare sotto due posizioni per voci di registro sospette !!

HKEY_CURRENT_USER: Software: Microsoft: Windows: CurrentVersion: Esegui

HKEY_LOCAL_MACHINE: SOFTWARE: Microsoft: Windows: CurrentVersion: Esegui

    
risposta data 21.04.2016 - 20:48
fonte
2

Nel caso in cui si utilizzi una CPU personalizzata che funziona come un progetto basato su architettura harvard, un virus può iniettare la ROM in cui sono memorizzati i codici di istruzioni, ma è molto difficile modificare un valore di ROM in questo modo. Ancora è un'iniezione

    
risposta data 22.04.2016 - 10:52
fonte
-4

Su un pezzo di carta, che viene poi digitato sulla tastiera (o OCRed?).

La più ovvia è la firma del virus di test EICAR :

"X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR"
"-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"

Se si uniscono insieme le due stringhe e le si salva come file eseguibile (un file ".com" su MSDOS o piattaforme Windows a 32 bit), allora qualsiasi programma antivirus che si rispetti dovrebbe trattarlo nello stesso come se fosse un virus. Nota che questo è specificatamente inseribile con caratteri che possono essere generati da una semplice "tastiera" di vaniglia.

    
risposta data 22.04.2016 - 19:25
fonte
-5

La cache della CPU viene resettata ogni volta che si riavvia il PC. Inoltre puoi scrivere solo su Hard Disk o su qualsiasi periferica rimovibile

    
risposta data 21.04.2016 - 11:10
fonte

Leggi altre domande sui tag