Domanda:
Un virus informatico può essere archiviato altrove rispetto al disco rigido?
ivan_bilan
2016-04-21 14:06:18 UTC
view on stackexchange narkive permalink

Ci sono virus che sono riusciti a nascondersi da qualche parte oltre che sul disco rigido? Come la cache della CPU o sulla scheda madre?

È anche possibile? Supponiamo che riceva un virus, quindi mi sbarazzo dell'HDD e ne installo uno nuovo. Il virus potrebbe essere ancora sul mio PC?

Dischi floppy - Ricordo di aver avuto a che fare con virus su floppy sul mio Amiga, e quello non aveva nemmeno un disco rigido.Lo stesso vale per qualsiasi altro supporto rimovibile come chiavette USB che possono eseguire automaticamente il codice quando vengono inseriti nel computer.Anche i supporti di sola lettura come i CD-ROM potrebbero essere stati spediti con virus su di essi.
Un po 'più astratto, ma una volta ho avuto un virus all'interno di una macchina Windows virtuale, con accesso al mio vero disco rigido.Non direttamente quello che stai chiedendo, quindi un commento.
Anni fa avevo un virus sulla mia scheda madre (almeno lo presumo, dato che non potevo spiegarlo con nient'altro).era come il 2008 e il mio computer si comportava in modo strano.un sacco di file a caso dove wirtten in tutte le mie cartelle.E 1 o 2 riavvii più tardi qualcosa ha impedito l'avvio da quell'HDD.Inoltre non sono stato in grado di reinstallare Windows su quell'HDD.Così ho comprato un nuovo HDD staccato quello vecchio e installato Windows.I driver installati (finora non si collegava a Internet) sono stati riavviati ..... Gli stessi file erano scritti sul nuovo HDD di fabbrica.1 altro riavvio e non potrei più usarlo.Ho acquistato un nuovo PC.
Qualcuno dovrebbe scrivere un virus per una [Mercury delay line] (https://en.wikipedia.org/wiki/Delay_line_memory#Mercury_delay_lines)
Abbastanza correlato: http://security.stackexchange.com/q/111156/91904
Sebbene non risponda a questa domanda, è anche meglio sapere che un virus non deve essere archiviato (ad eccezione dell'istanza in esecuzione nella memoria) se si diffonde abbastanza rapidamente.In questo caso, se tutti su Internet spengono il proprio computer, il virus è sparito, ma non lo fanno.
Se vuoi essere spaventato o impressionato a seconda della tua posizione, controlla la documentazione di riferimento dei produttori di hardware.Ad esempio, Dell offre un documento chiamato "Dichiarazione di volatilità" per tutti i servere.Contiene mjltiple pagine con inventario della memoria del firmware (scrivibile, flash) in un server aziendale.Esempio: http://downloads.dell.com/manuals/common/poweredge-r720_white%20papers1_en-us.pdf
@Zaibis: Ciò che stai descrivendo può anche essere causato da un semplice guasto del controller del disco integrato.La sostituzione del mobo avrebbe dovuto essere sufficiente, supponendo che il guasto non fosse indotto da qualcos'altro (come un P / S marginale o un altro componente in grado di iniettare transitori nel bus di alimentazione o nel bus dati).
Ci sono virus che si nascondono sul firmware dell'hardware.Pensaci.Il driver all'interno della tua GPU è infetto (o qualsiasi altra parte del tuo computer).Allora sei praticamente disossato.Anche quando si monta il PC completo, il malware rimane lì e probabilmente l'unico modo per recuperarlo è eseguire il flashing del componente hardware o sostituirlo.Dato che hai mai la possibilità di localizzarlo.Questa è la roba davvero brutta
Anche @Zaibis: ha avuto quel comportamento una volta.Come descrive Eric, probabilmente si è trattato di un guasto del controller della mobo.Per me era anche peggio di un virus, perché può nascondersi per molto più tempo del tuo tipico virus ed era completamente "multipiattaforma": P
@JonasDralle Cosa dovrebbe essere un "driver all'interno della tua GPU" ?!Come verrebbe eseguito quel codice e reinfetterebbe il PC?
Undici risposte:
Polynomial
2016-04-21 14:42:47 UTC
view on stackexchange narkive permalink

Un sacco di posti:

L'hardware moderno ha una vasta gamma di archivi dati persistenti, solitamente utilizzati per il firmware. È troppo costoso spedire un dispositivo complesso come una GPU o una scheda di rete e mettere il firmware su una maschera ROM dove non può essere aggiornato, quindi avere un errore che causa richiami di massa. In quanto tale, hai bisogno di due cose: una posizione scrivibile per quel firmware e un modo per installare il nuovo firmware. Ciò significa che il software del sistema operativo deve essere in grado di scrivere nella posizione in cui il firmware è memorizzato nell'hardware (di solito EEPROM).

Un buon esempio di ciò è lo stato delle moderne utilità di aggiornamento BIOS / UEFI. È possibile acquisire un'immagine UEFI e un eseguibile in esecuzione sul sistema operativo (ad esempio Windows), fare clic su un pulsante e gli aggiornamenti UEFI. Semplice! Se si esegue il reverse engineering di come funzionano (cosa che ho fatto alcune volte) si tratta principalmente del caricamento di un driver in modalità kernel che prende i dati della pagina dall'immagine UEFI data e comunica direttamente al chip UEFI utilizzando out , inviando i comandi corretti per sbloccare il flash e avviare il processo di aggiornamento.

Ci sono alcune protezioni, ovviamente. La maggior parte delle immagini BIOS / UEFI non verranno caricate a meno che non siano firmate dal fornitore. Ovviamente, un attaccante abbastanza avanzato potrebbe semplicemente rubare la chiave di firma dal venditore, ma questo sta andando nelle teorie della cospirazione e negli attori di minacce divini, che semplicemente non sono realistici da combattere in quasi tutti gli scenari. I motori di gestione come IME dovrebbero avere certe protezioni che impediscono l'accesso alle loro sezioni di memoria anche tramite codice ring0, ma la ricerca ha dimostrato che ci sono molti errori là fuori e molti punti deboli.

Quindi, tutto è fottuto, vero? Ebbene sì e no. È possibile inserire rootkit nell'hardware, ma è anche incredibilmente difficile. Ogni singolo computer ha una tale variazione nelle versioni hardware e firmware che è impossibile creare un rootkit generico per la maggior parte delle cose. Non puoi semplicemente ottenere un BIOS Asus generico e installarlo su qualsiasi scheda; lo ucciderai. Dovresti creare un rootkit per ogni tipo di scheda separato, a volte fino all'intervallo di revisione corretto. È anche un'area di sicurezza che coinvolge un'enorme quantità di conoscenza cross-domain, fino in profondità all'hardware e agli aspetti operativi di basso livello delle moderne piattaforme di elaborazione, insieme a una forte sicurezza e conoscenza crittografica, quindi non molte persone sono capaci.

È probabile che tu venga scelto come target? No.

È probabile che tu venga infettato da un rootkit residente BIOS / UEFI / SMM / GPU / NIC? No.

Le complessità e le variazioni coinvolte sono semplicemente troppo grandi perché l'utente medio debba mai preoccuparsene realisticamente. Anche da un punto di vista economico, queste cose richiedono una quantità eccessiva di abilità, impegno e denaro per essere costruite, quindi bruciarle sul malware dei consumatori è idiota. Questi tipi di minacce sono così mirati che appartengono solo al modello di minaccia dello stato-nazione.

Non dimenticare il caso più semplice: un'unità flash.Se una chiavetta USB ha causato l'infezione, infetterà di nuovo felicemente il nuovo HDD.
@Bergi Ho accettato la domanda per escludere completamente i tradizionali supporti di archiviazione di massa, ma sì, è vero.Puoi anche includere smartphone in quella categoria.
Dipende davvero da cosa rappresenta "tu". Utenti di basso livello come te e me?Ovviamente no.Giornalista di alto livello che scrive su argomenti controversi?La risposta è un po 'più sofisticata.Stare attenti non ferire mai nessuno ...
Tuttavia, è più del semplice contenuto dell'unità flash.Non c'era un PoC per infettare il firmware USB?
@Nate Sì, è noto come badusb, ma per quasi tutti i motivi sopra descritti per altri tipi di hardware, è altrettanto improbabile che badusb rappresenti una minaccia per l'utente medio.
Si noti che malware come quello che ha infettato le centrali nucleari iraniane è stato successivamente scoperto anche per infettare centrali elettriche tedesche e laptop di persone comuni.Questo è il problema con il malware progettato per infettare installazioni sicure: per definizione deve impegnarsi il più possibile.È improbabile che tale malware, poiché è stato progettato per colpire hardware specifico (in questo caso apparecchiature prodotte da Siemens), possa danneggiare il PC.Ma solo perché non sei stato deliberatamente preso di mira non significa che il tuo PC non sarà potenzialmente infetto.
Anche se tendo ad essere d'accordo sul fatto che questi vettori di minacce siano improbabili, non stiamo fondamentalmente facendo rivivere una variazione del vecchio argomento "sicurezza attraverso l'oscurità"?
@ViktorToth Sì, ma è un po 'irrilevante quando parliamo di modellazione del rischio.Non è tanto oscuro quanto limita l'applicabilità del malware a un ecosistema molto piccolo, il che non vale la pena per un utente malintenzionato a meno che non sia destinato a essere preso di mira.L'economia degli attacchi è una parte importante del modello di minaccia.
@slebetman La differenza qui è che il * payload * di Stuxnet è stato progettato per interfacciarsi con uno specifico dispositivo PLC collegato al sistema.In questo caso stiamo parlando di vettori di persistenza generici, non di payload, che è una distinzione importante.Anche se potresti essere infettato da un malware con tale funzionalità (che sarebbe comunque improbabile), le possibilità che sia effettivamente in grado di "nascondersi" nel modo previsto sono infinitesimali.Allo stesso modo, il propulsore tedesco che è stato infettato aveva semplicemente Stuxnet su un computer che si trovava nel propulsore e non ha attivato il carico utile previsto.
@Polynomial: Corretto.È quello che ho detto.Solo perché non sei preso di mira non significa che non sarai infettato.Ricorda: il carico utile e l'infezione sono due cose diverse.Non so voi, ma non sono a mio agio con i virus sul mio PC indipendentemente dal tempo in cui viene distribuito il carico utile.È già abbastanza difficile convivere con i bug nei programmi regolari.Potenziali bug nei virus che potrebbero finire a fare cose casuali sui miei file senza i quali posso vivere.
@slebetman Vero, ma preferirei avere malware sul mio sistema che posso rilevare e triage in modo appropriato rispetto al malware sul mio sistema che rovina il mio hardware.
È anche possibile che il malware si nasconda solo nella memoria (RAM).Soprattutto sui server, che vengono riavviati raramente, questo diventa popolare.
@rugk Questo è quasi impossibile da fare senza mai toccare il disco, però.Sebbene siano stati fatti tentativi, problemi come il paging e la necessità di rilasciare librerie per iniettare nei processi in directory temporanee, in definitiva significa che il malware residente in memoria spesso non è interamente residente in memoria.
Se sei davvero paranoico, il tuo disco rigido può contenere un malware nel firmware.Ho letto qualche tempo fa sull'esecuzione di Linux dal chip hardware stesso.Il disco rigido aveva un processore ARM, 32 MB o memoria e abbastanza per eseguire una shell lì.Puoi leggerlo su http://spritesmods.com/?art=hddhack
Solo una piccola correzione.Il malware non può archiviarsi in SMM, può semplicemente nascondersi lì in fase di esecuzione perché SMM non è persistente.Non appena il computer si spegne, tutto ciò che è in esecuzione in un contesto di gestione del sistema (anello -2) viene perso.Inoltre, stai confondendo SMM con ME.SMM è completamente diverso dal Management Engine, che è anello -3.ME ha il proprio firmware (memorizzato nel BIOS), che in realtà è persistente, mentre SMM è solo una modalità con privilegi superiori disponibile per l'esecuzione sulla CPU.
In realtà, c'è un terzo problema con questa risposta che devo sottolineare.Hai menzionato il Jellyfish PoC (il malware residente sulla GPU).Inoltre, non è persistente durante i riavvii.Come SMM, è progettato per essere in grado di nascondersi dagli IDS tradizionali.Mentre in teoria il firmware della GPU potrebbe essere sovrascritto per creare un vero nascondiglio persistente per il malware, non è quello a cui ti sei collegato.E anche il documento Quest to the Core, che parla di microcodice e simili, non è rilevante per la domanda.Il microcodice deve essere riapplicato ad ogni avvio.Si perde quando il sistema si spegne.
Nel complesso, ognuno di quei luoghi che hai menzionato, tranne il BIOS / UEFI, sono nascondigli temporanei che il malware può utilizzare per eludere IDS e mantenere privilegi più elevati.Nessuno di essi viene utilizzato per persistere durante i riavvii o le reinstallazioni.Inoltre penso che tu abbia confuso IME con SMI (il documento Phrack che hai citato non parlava affatto dell'IME, solo SMI, che sono usati per lanciarsi nel contesto SMM).Penso che l'intera risposta fraintenda la domanda ed elenchi i luoghi in cui il malware può nascondersi da un IDS, non i luoghi in cui il malware può essere archiviato. E la maggior parte dei sistemi non usa MLC NAND invece di EEPROM oggigiorno?
@forest Se infetti queste aree puoi implementare malware con capacità specifiche.Ad esempio, infettare il firmware di una scheda NIC ti dà accesso DMA all'intera memoria di sistema e un canale di esfiltrazione nascosto che non può essere visto dal sistema operativo.Il malware GPU può nuovamente DMA, quindi ha il pieno controllo del sistema, anche se non può comunicare direttamente (beh, in realtà, può, se colleghi una TV connessa a Internet tramite HDMI, a causa di HEC).Le GPU hanno anche il firmware.Il punto è che questi luoghi memorizzano il codice e la modifica di quel codice consente un rootkit furtivo persistente.
È vero, ma per entrare in quei luoghi, hai bisogno dei privilegi richiesti per ottenere le abilità DMA in primo luogo, quindi non è nemmeno privato.Non ha davvero senso passare alla GPU una volta che hai già l'anello 0, a parte nascondersi dal resto del sistema e pasticciare segretamente con le cose su DMA.Non ti permetterà di sopravvivere a un riavvio.A meno che non abbia frainteso la domanda di OP, non sta chiedendo di un rootkit furtivo, ma uno che è memorizzato in luoghi diversi dal disco rigido, come il BIOS, ecc (non solo uno che si nasconde da un IDS).
Non ci sono chip dedicati responsabili di leggere se il software da installare e controllare se è firmato?
@TrevörAnneDenise Non proprio;ci sono funzionalità in alcune piattaforme hardware per cercare di imporre l'integrità e l'autenticità del codice (ad esempio ARM TrustZone e UEFI SecureBoot) ma in pratica si sono dimostrate carenti a causa di errori nell'implementazione o scarso supporto del fornitore.
@TrevörAnneDenise Il problema è che questi sistemi sono stati (in gran parte) inseriti da una giuria in architetture esistenti per risolvere problemi sorti decenni dopo la progettazione originaria del sistema.In quanto tali, le funzionalità tendono ad avere requisiti e limitazioni contorti, indebolendo le loro capacità e aumentando i costi di implementazione.Inoltre, la firma del codice è una questione difficile sulle macchine di uso generale: chi dovrebbe essere autorizzato a firmare il codice?Se lo limiti, soffoca la tua libertà di scelta del sistema operativo.Se lo apri a chiunque, cosa impedisce la firma di malware?È una scelta UX difficile.
È comprensibile!
Anders
2016-04-21 14:30:27 UTC
view on stackexchange narkive permalink

La risposta breve alla tua domanda è sì.

Di seguito sono riportati alcuni punti in cui un virus potrebbe nascondersi:

  • Sul firmware di la tastiera, il mouse, la webcam, gli altoparlanti, ecc. Praticamente tutto ciò che colleghi al tuo computer che abbia un firmware scrivibile.
  • Sul firmware del tuo disco rigido. Una specie di disco rigido, ma sopravvive comunque a una riformattazione. Probabilmente l'NSA è sospettato di questo.
  • Nel tuo BIOS o UEFI.
  • Ai vecchi tempi, i settori di avvio dei dischi floppy. Questo era uno standard tra i primi virus, poiché all'epoca i floppy disk erano spesso usati come memoria primaria. Lo stesso vale per le chiavette USB ora.

Un virus potrebbe potenzialmente prendere di mira qualsiasi cosa in cui sono presenti dati scrivibili che vengono trattati come codice eseguibile. Su un computer, praticamente ovunque. Affinché sopravviva a un riavvio, tuttavia, dovrebbe essere una sorta di memoria persistente. Quindi la cache della CPU potrebbe non essere il posto migliore per nascondersi.

La maggior parte dei virus non lo fa, però, e vive solo sull'HDD. Questo perché gli autori di virus sono (razionalmente) pigri. Perché optare per le opzioni complicate quando la frutta è in abbondanza?

Ah sì, ho dimenticato il firmware del disco rigido dalla mia risposta.Travis Goodspeed ha tenuto un discorso interessante su questo un po 'di tempo fa, producendo un disco anti-forense.L'idea era che i normali schemi di lettura / scrittura del sistema operativo e di comando ATA sono piuttosto unici, ma i blocchi di scrittura, il software forense e i clonatori (ad esempio `dd`) inviano modelli completamente diversi che rendono facile individuare quando un disco viene analizzato in modo forense.Il disco poi si pulisce da solo con uno schema ripetuto dei testi di Never Gonna Give You Up di Rick Astley.
@Polynomial Conta come un Rickroll?
qualsiasi cosa con firmware, anzi.comprese le stampanti
Le tastiere hanno firmware scrivibile?Sapevo che alcuni mouse costosi lo facevano, ma non conoscevo nessuna tastiera che lo facesse.Sono un po 'triste anche solo scoprirlo, considerando che sono una di quelle persone che preferisce ancora usare una tastiera e un mouse PS / 2 ... Su richiesta interrompe> qualche stupido driver che interroga 5000 volte al secondo, imo.
@forest Non è standard, ma penso che ci siano.Potrei sbagliarmi su questo, però.
@forest: tempo fa c'è stato un attacco comprovato al firmware della tastiera Mac, credo sia stato scritto su Hackaday.Non c'è motivo di pensare che siano unici però.Oggigiorno tutto ha un micro in esso perché è solo più economico della creazione di funzionalità nell'hardware, e micro molto capaci (e quindi utilmente infettabili) sono così economici ora.
http://www.zdnet.com/article/criminals-push-malware-by-losing-usb-sticks-in-parking-lots/ e http://www.instructables.com/id/USB-Mouse-Flash-Drive-Hack /
@Polynomial Non era scritto in PoC || GTFO e specificamente per i dischi rigidi dell'iPod?Ricordo che ha apportato modifiche al firmware dell'iPod che si interfacciava con l'unità, non con il firmware dell'unità stessa (anche se naturalmente potresti fare la stessa cosa nel firmware dell'unità).
@forest Sì, una citazione migliore sarebbe [hddhack over at spritesmods] (https://spritesmods.com/?art=hddhack).
Alexey Vesnin
2016-04-21 19:51:38 UTC
view on stackexchange narkive permalink

Uno dei luoghi più comuni ma non selezionati è ... una periferica con "disco driver incorporato", come molte chiavette USB 3G / 4G. Hanno - tecnicamente - un hub all'interno e un Generic Storage + il dispositivo stesso su di esso. L'aggiornamento del firmware di solito aggiorna un'immagine del disco montata sulla parte di archiviazione generica. È di sola lettura dal PC in uso normale, ma è facilmente rimappato come CD-ROM con riproduzione automatica . Quello che ho provato io stesso nel 2006-2008 era una chiavetta 4G per un fornitore di cellulari locale. Conteneva CD-ROM come l'archiviazione pronta all'uso dal punto vendita locale, autoplay e torjan inclusi =) Prossima patch del firmware - e una memoria viene rimappata sull'HDD e nessun virus a bordo.

Avrei pensato che "autorun" sarebbe stato disabilitato in modo permanente a questo punto
@Xen2050 Allaccia la cintura di sicurezza: quando stavo aggiornando da Windows 7 a 10, in win7 l'autorun era disabilitato.In win10 ** è stato nuovamente abilitato dall'installer ** allo stesso tempo ha migrato tutte le impostazioni che avevo
Steffen Ullrich
2016-04-21 14:31:09 UTC
view on stackexchange narkive permalink

Il problema principale per qualsiasi tipo di archiviazione è che il sistema deve essere disposto a eseguire il malware. Durante l'avvio del sistema operativo questo significa che deve trovarsi da qualche parte come eseguibile, DLL, driver o simile sul disco rigido. Non è necessario che sia completamente presente, ovvero può essere un piccolo materiale caricabile e il resto potrebbe risiedere da qualche altra parte (anche nella rete).

Ma il malware può anche essere caricato prima che il sistema operativo venga eseguito. Il caricamento del SO è controllato dal BIOS o dall'UEFI quindi se il malware è già contenuto in questa fase è fuori dal controllo del SO. Per un esempio, vedi Il malware di Hacking Team utilizza un rootkit UEFI per sopravvivere alle reinstallazioni del sistema operativo.

A parte questo, hai il firmware sulla scheda di rete, la scheda grafica, il disco rigido ecc. e questi spesso possono essere sostituiti. Pertanto, anche alcuni malware potrebbero nascondersi lì e modificare il comportamento del sistema, vedere Come funziona l'hacking del firmware della NSA e perché è così inquietante.

Josh
2016-04-22 03:25:25 UTC
view on stackexchange narkive permalink

Ci sono state alcune cose che mi sono venute in mente quando ho letto la domanda che si estendono oltre lo scopo dell'esempio fornito. Ci sono altri posti in cui un virus può essere memorizzato oltre a un disco rigido o anche su un computer. Un paio di questi luoghi sarebbero i batteri (in particolare E. coli) e il tuo DNA”.

Secondo alcune ricerche eseguite da cerca 2010 che hanno dimostrato che E . coli potrebbe non solo memorizzare dati (o un virus), ma anche offrire la bioencrittografia.

Più recentemente, gli scienziati hanno scoperto che possono memorizzare fino a 700 TB di dati in 1 grammo del tuo DNA. Il vantaggio sarebbe che si tratta di una conservazione a lungo termine se conservata correttamente.

Quindi, man mano che il settore tecnologico si avvicina all'integrazione della tecnologia e della nostra biologia, potrebbe dover guardare oltre il nostro disco rigido, BIOS, memoria, GPU, ecc.

Ecco un altro paio di link che potrebbero essere di interesse: http://www.extremetech.com/extreme/212496-dna-can-now-reliably-store-data-for-2000-years-or-morehttp: //io9.gizmodo.com/5699767/bioencryption-can-store-almost-a-million-gigabytes-of-data-inside-bacteria
Oh cavolo, non ci ho pensato.
Interessante, ma per ora non è davvero un luogo praticabile per archiviare un virus informatico che reinfetterebbe un nuovo sistema operativo (per fortuna, odierei dover pulire fisicamente una scheda madre e installare un "sistema operativo pulito")
E se memorizzi il virus del computer in un virus * reale *, diventiamo tutti portatori di esso!
Edheldil
2016-04-21 21:15:11 UTC
view on stackexchange narkive permalink

Oltre a un'eccellente risposta di Polynomial, ci sono altre opzioni:

  • un altro dispositivo sulla rete, ovviamente (ad esempio un altro computer che infetta le condivisioni di samba, router che aggiunge exploit alla sua pagina web, ...)
  • Dispositivo USB (ad es. disco flash) che passa segretamente a una tastiera e digita / scarica il malware sul computer host
BlueBerry - Vignesh4303
2016-04-21 14:18:50 UTC
view on stackexchange narkive permalink

Non sono sicuro che un'altra parte del computer sia stata utilizzata da virus, ma molto tempo fa mi sono imbattuto in BADBIOS

Cosa fa il bios sbagliato? 

  Codice del programma radio (SDR), anche con tutto l'hardware wireless rimosso.Si dice che infetti il ​​firmware su chiavette USB.Si dice che usi file TTF (font), apparentemente in grandi numeri, come vettore quando si diffonde.

Oltre a quanto sopra, non è solo il virus che attacca una macchina, c'erano molti tipi di rootkit disponibili come PCI rootkit

In sintesi, il virus può risiedere nel bios o in qualsiasi fonte, ma richiede un punto di esecuzione che manca di hardware.

Modifica dopo domanda:

Come da domanda, sì, c'erano possibilità di virus che potevano trasferirsi sul tuo nuovo hdd, ad esempio considera i rootkit come jellyfish, ma in particolare questi casi erano rari per i normali utenti finali

"Si dice che si diffonda ai nuovi computer delle vittime utilizzando gli altoparlanti di un dispositivo infetto per parlare al microfono su uno non infetto"., aspetta cosa?Attraverso le onde sonore?
@ivan_bilan una cosa dovrebbe essere notata qui, queste erano le possibilità che sono state derivate teoricamente e metodi collaudati descrivono come può essere fatto, ma questo tipo di rootkit, virus, spyware erano molto rari e rari tra gli utenti finali, quindi non c'è bisogno di preoccuparsi diche http://blog.erratasec.com/2013/10/badbios-features-explained.html#.VxicW7NZNE4 dai un'occhiata qui c'è in una risposta molto dettagliata
L'articolo di sophos a cui ti sei collegato suggerisce che badBIOS potrebbe essere una bufala, poiché ha influenzato solo Dragos Ruiu, il ragazzo che lo ha segnalato, nessuno ha replicato le sue scoperte.
@ivan_bilan http: // www.jocm.us / uploadfile / 2013/1125 / 20131125103803901.pdf
È un numero enorme di "Si dice" che richiedono una miriade di funzionalità altamente avanzate che convergono su una sola persona.Qualcosa di tutto questo è mai stato verificato?Sono molto scettico e propendo a credere che questo fosse semplicemente uno strano scherzo o un episodio immaginario.Leggere altri thread suggerisce che questo è vecchio cappello e non sono il solo in questa interpretazione di tutto ciò.
Kiran
2016-04-21 23:48:08 UTC
view on stackexchange narkive permalink

La risposta è SÌ, possono nascondersi in molti altri posti, non solo nel tuo HDD, ma anche in altri dispositivi di archiviazione che hai collegato al tuo PC.

  • All'inizio avevo molti problemi con l'opzione "Autorun" del CD / DVD nel mio Microsoft Windows. I virus erano così in grado di creare automaticamente "Autorun.inf" nel supporto di masterizzazione e di utilizzarli per eseguire e infettare automaticamente in un nuovo PC quando inserisco la ROM interessata nel lettore.

  • Il virus infetta automaticamente l'unità flash USB e si diffonde da sola se l'unità flash viene inserita in un sistema non infetto.

Queste sono due aree principali, dove il tuo l'obiettivo principale deve essere.

Se sei riuscito a rimuovere Virus dal tuo HDD, non dimenticare di controllare il registro di Windows in queste posizioni: (credimi, ho disabilitato molti file di virus in esecuzione, rimuovendo voci sconosciute da posizioni sottostanti);

Esegui "regedit" per aprire l'editor del registro di Windows e vai alla ricerca di voci di registro sospette sotto due posizioni !!

HKEY_CURRENT_USER: Software: Microsoft: Windows: CurrentVersion: Esegui

HKEY_LOCAL_MACHINE: SOFTWARE: Microsoft: Windows: CurrentVersion: Esegui

Penso che se il disco rigido fosse rimosso, il sistema operativo (e tutte le voci di registro) sarebbero sparite con esso.
B. Koksal
2016-04-22 13:52:45 UTC
view on stackexchange narkive permalink

Nel caso in cui si utilizzi una CPU personalizzata che funziona come un progetto basato sull'architettura harvard, un virus può iniettare la ROM in cui sono memorizzati i codici di istruzione, ma è un processo molto molto difficile cambiare un valore ROM in questo modo. Tuttavia è un'iniezione

Stephen Lyons
2016-04-22 22:25:59 UTC
view on stackexchange narkive permalink

Su un pezzo di carta, che viene poi digitato sulla tastiera (o sottoposto a OCR?).

La più ovvia è la firma del virus di prova EICAR:

"X5O! P% @ AP [4 \ PZX54 (P ^) 7CC ) 7} $ EICAR "
" -STANDARD-ANTIVIRUS-TEST-FILE! $ H + H * "

Se unisci le due stringhe insieme e salvi come file eseguibile (un file ".com" su MSDOS o piattaforme Windows a 32 bit) quindi qualsiasi programma antivirus che si rispetti dovrebbe trattarlo come se fosse un virus. Nota che questo è specificatamente inseribile con caratteri che possono essere generati da una semplice "tastiera" vaniglia.

Cosa c'è di ovvio su EICAR come esempio?Tutto il malware è codice che deve essere compilato o interpretato.Sono completamente confuso sul motivo per cui EICAR è un esempio.È solo perché è abbastanza breve per essere digitato dalla persona media?
Inoltre, non sono sicuro che essere stampato conti come "nascondersi" secondo la domanda.
Questo non è un virus.È solo una stringa di prova per i programmi AV.Non c'è modo per quel file di riprodursi, essere eseguito o eseguire operazioni eseguite da virus o malware.
Cricco95
2016-04-21 14:10:11 UTC
view on stackexchange narkive permalink

La cache della CPU viene ripristinata ogni volta che si riavvia il PC. Inoltre puoi scrivere solo su Hard Disk, o qualsiasi periferica rimovibile

Ma può essere riconfigurato per non ripristinare tramite qualche hack del BIOS?
La cache della CPU non è gestita dal BIOS.Il BIOS è solo un sistema I / O di base
La cache della CPU è solo RAM veloce.Non può persistere dopo aver spento e riacceso la CPU.
Il BIOS è certamente scrivibile dal sistema operativo, in particolare in UEFI.Come pensi che funzionino gli strumenti di aggiornamento di Userland?
Puoi scrivere nel BIOS e tutto sullo stesso chip su cui si trova il BIOS (tabelle DSDT, ecc.), Puoi scrivere su NVRAM (memoria CMOS, anche se non penso che tu possa inserire malware lì, ed è probabilmente troppo piccoloper inserire un payload sfruttabile, essendo di solito solo 144 byte), e sui prossimi processori Skylake, la stessa CPU avrà un FPGA integrato.Puoi anche scrivere nel firmware su molti dispositivi PCI, che possono montare un attacco DMA contro il tuo computer e che contengono ROM opzionali.Quindi no, non solo il tuo disco rigido o le tue periferiche.
Anche se la tua risposta ha prodotto un'interessante chat di commento, afaik non è una risposta alla domanda originale.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...