Il est possible que les logiciels malveillants persistent à travers un reformatage et une réinstallation, s'ils sont suffisamment ingénieux et sophistiqués: par exemple, ils peuvent persister dans le bios, dans le firmware des périphériques ( certains périphériques matériels ont un micrologiciel qui peut être mis à jour, et pourraient donc être mis à jour avec un micrologiciel malveillant), ou avec un virus infectant les fichiers de données sur le stockage amovible ou sur vos sauvegardes.

Cependant, la plupart des logiciels malveillants ne le font pas tout ce qui est aussi méchant. Par conséquent, bien qu'il n'y ait aucune garantie, le reformatage et la réinstallation devraient éliminer presque tous les logiciels malveillants que vous êtes susceptible de rencontrer dans la nature.

Personnellement, je serais heureux avec le reformatage et réinstaller. C'est probablement assez bon en pratique.

Il est tout à fait possible pour un attaquant légèrement sophistiqué de laisser un malware hors de portée directe du système d'exploitation. La réinstallation du système d'exploitation signifie tout au plus un effacement du disque. Même là, vous devez faire attention si vous restaurez des données qui ont pu être compromises.

Les logiciels malveillants peuvent être stockés dans l'une des nombreuses mémoires réinscriptibles qui se cachent dans à peu près tous les composants d'un ordinateur moderne. Ces mémoires stockent le micrologiciel de ce composant et sont généralement réinscriptibles; il suffit de connaître la bonne adresse, et les fabricants fournissent généralement des outils pour mettre à niveau le firmware, donc tout ce que l'attaquant doit faire est de substituer son propre code (il n'y a presque jamais de cryptographie).

Par exemple , il existe un exploit connu (et assez simple) pour les claviers Apple, trouvé par K. Chen. La présentation de Chen montre comment tirer parti de la mémoire disponible (seulement environ 1 Ko en réserve) pour ouvrir un shell sur un port TCP en injectant des frappes au clavier, ou enregistrer les frappes dans un contexte où une phrase de passe est attendue et les rejouer.

Pour un autre exemple de vulnérabilité de micrologiciel à l'état sauvage, essayez CVE-2010-0104: Débordement de la mémoire tampon ASF du micrologiciel de gestion Broadcom NetXtreme. Il s'agit d'un bogue dans certains micrologiciels Ethernet qui permet à un attaquant distant de prendre le contrôle du micrologiciel du réseau (et donc à tout le moins d'attaquer activement tout le trafic réseau), et potentiellement de tout l'ordinateur (je ne sais pas s'il y a un exploit pour cela, mais une fois que vous avez accès au bus PCI, je doute que beaucoup soit interdit). Il est intéressant de noter que cette vulnérabilité est la plus facile à exploiter sur un ordinateur éteint, car le bogue se trouve dans un analyseur de protocole de gestion à distance, qui gère en particulier le wake-on-LAN.

Encore un autre exemple est reflasher un contrôleur de disque dur (présenté à OHM 2013).

Cette question demande le micrologiciel sur les cartes vidéo. Au moment où j'écris, personne n'a donné d'exemple de malware dans la nature, mais la possibilité est certainement là.

Il n'y a pas de véritable protection contre les micrologiciels compromis sur un PC classique. Vous auriez besoin de garder une trace de chaque morceau de mémoire flash de l'ordinateur. Il y a des efforts pour exiger l'authentification du micrologiciel; sur les PC, l'effort le plus avancé est le TPM, qui peut actuellement vérifier l'intégrité du BIOS et du chargeur de démarrage du système d'exploitation, si vous disposez du matériel nécessaire et d'un BIOS qui le prend en charge. Je ne suis pas au courant d'un PC où tous les composants ont leur firmware vérifié pour l'intégrité (au moins, avant qu'ils ne soient autorisés à accéder au bus PCI). Des efforts similaires sont déployés dans le monde des smartphones pour tirer parti des fonctionnalités de sécurité des puces ARM, mais encore une fois, c'est bien loin de l'existence d'une fonctionnalité de sécurité jusqu'à l'inclusion de tous les micrologiciels dans la base de confiance.

En pratique, si vous n'êtes pas une cible de premier plan, vous n'avez pas à vous inquiéter beaucoup. Il n'y a pas d'exploits dans la nature au niveau du script kiddie. Mais les possibilités sont nombreuses pour votre attaquant possédant des compétences techniques (ou les moyens d'embaucher un pirate informatique qualifié).

Les attaques de micrologiciels sont de plus en plus faciles avec le temps. À Black Hat USA 2012, Jonathan Brossard a présenté «une preuve de concept générique pour l’architecture Intel, Rakshasa, capable d’infecter plus d’une centaine de cartes mères différentes». La preuve de concept (non publiée) infecte de nombreux BIOS et périphériques courants, y compris les puces réseau. Ce n'est qu'une question de temps avant que de tels cadres d'infection de micrologiciel n'apparaissent dans la nature. La NSA a été signalée pour favoriser l’installation de logiciels espions dans le BIOS.

En plus de cacher votre code parmi divers périphériques, une ancienne technique qui fait son grand retour est le virus du secteur de démarrage. Torpig / Sinowal / Anserin est l'exemple le plus récent de l'utilisation judicieuse de cette technique. En bref, une fois infecté, le virus chargera du code d'amorçage dans le MBR. Si cette technique est utilisée, on peut s'attendre à ce que le code chargé dans le MBR fasse ce qui suit:

1. Vérifiez si le virus est présent
2. Sinon, téléchargez et réinfecter

Le seul moyen de nettoyer de manière fiable quelque chose comme celui-ci pour nettoyer le MBR. Soit par re-partitionnement, soit en utilisant un outil comme fixmbr. En tant que tel, il ne suffit pas de réinstaller, et parfois de formater / réinstaller.

Dépend de ce que vous considérez comme "une installation propre".

Outre ce que D.W. mentionné, certains éléments peuvent rester par exemple dans les répertoires «System Volume Information» et / ou recycler (répertoires de restauration du système et de la corbeille) sur les partitions supplémentaires que vous pourriez avoir. Cela pourrait facilement se réactiver sur une nouvelle installation de Windows, mais cela ne fonctionnera probablement pas sous Ubuntu. Quoi qu'il en soit, si toutes ces autres partitions ne sont pas désinfectées, cela signifie qu'il pourrait encore y avoir des logiciels malveillants quelque part dans ces répertoires - probablement ne rien faire, attendre juste des jours meilleurs, que Windows soit réinstallé]: -> mais toujours là .. Ce que je vous suggère de faire après l'installation d'Ubuntu, c'est d'installer clamav, de le mettre à jour et de réanalyser tout ce que vous avez ..

Si vous formatez vraiment tout , il y a toujours les points DW fait.

Un code malveillant dans le BIOS / micrologiciel est possible, mais de nombreuses menaces plus réalistes sont souvent négligées. Deux exemples qui me viennent à l'esprit:

Repos / Images du système d'exploitation: elles peuvent être compromises, donc vous réinstallez essentiellement un système d'exploitation ou un logiciel en porte dérobée à chaque fois que vous réimprimez vos systèmes.

Gestion hors bande: HP ILO, Dell's IDRAC ou IPMI. Même en réinstallant votre système, quiconque l'a compromis peut déjà savoir qu'il existe une gestion hors bande avec un accès à la console disponible.

Je pense que la réponse à cette question dépend de la nature des menaces (et des attaquants) que vous considérez comme pouvant agir contre votre PC.

EN GÉNÉRAL - Si vous faites une "vraie" re -format du disque dur de l'ordinateur (y compris, comme d'autres affiches l'ont mentionné, les secteurs de démarrage), puis installez un nouveau système d'exploitation (autre chose que Microsoft Windows, espérons-le ... mais même Windows le fera, tant que vous installez-le à partir d'un DVD au lieu de simplement «restaurer» à partir de la «partition de restauration» du fabricant, qui aurait bien sûr facilement pu être compromise par le même malware, comme c'est la raison pour laquelle recréer l'O / S en premier lieu) , alors pour la plupart des cas d'utilisation dans la plupart des conditions, cela devrait fournir un niveau de confiance acceptable que l'ordinateur ne sera pas «pré-compromis» au moment où vous l'utiliserez pour la première fois.

Cela dit, , veuillez noter que, comme les affiches précédentes l'ont correctement souligné, il existe très certainement une série de logiciels malveillants avancés et p les attaques de falsification physique / BIOS, qui peuvent si gravement compromettre l'infrastructure de base de l'ordinateur, de sorte qu'en réalité, le seul plan d'action 100% sûr est simplement de le gaspiller et de passer à un autre PC.

D'après mon expérience, ces types d'attaques sont très rares, mais si (par exemple) vous vous trouvez dans un environnement à haut risque (par exemple vous êtes un dissident chinois ou iranien, vous êtes Edward Snowden, etc.) il vaut mieux ne pas prendre de risque ... surtout s'il est probable qu'un attaquant puisse, à un moment donné, avoir eu un accès physique au PC en question . (La NSA est experte dans la mise en place de compromis de BIOS et de matériel qu'il est pratiquement impossible pour quiconque, sauf une autre agence de renseignement au niveau des États-nations, de les détecter ou de les supprimer.)

En passant, je voudrais signaler une autre menace que trop de gens oublient, lors de l'initialisation d'un "nouveau" PC: à savoir "en utilisant le même mot de passe d'accès local, en particulier le mot de passe du compte administrateur, que j'ai utilisé sur le dernier PC ". La logique derrière cela est simple: "J'ai mis une porte dérobée sur votre 'ancien' PC et j'ai intercepté votre mot de passe; alors quand je vois votre 'nouveau' PC apparaître sur Internet ... devinez quel mot de passe est le premier qui Je vais essayer, quand j'essaierai de me connecter au 'nouveau' PC? "

Voici un sale truc, au fait: créer un compte" factice ", sans privilèges et avoir il a soigneusement surveillé, en utilisant le "vieux" mot de passe ... et attendez de voir ce qui se passe. En fait, vous installez un "pot de miel" local pour attirer les mécréants qui ont compromis votre "ancien" PC. Il y a toujours une chance d'un exploit d'élévation de privilèges, bien sûr, vous devez donc faire très attention à verrouiller le compte "factice" afin que même si quelqu'un s'y authentifie avec succès, il ne peut aller nulle part ni faire quoi que ce soit.

Le fait est de changer tous vos mots de passe, immédiatement, si vous pensez avoir été compromis. Et ne faites confiance à rien qui pourrait avoir été physiquement compromis. Faites cela et vous devriez être à l'abri de (presque) toutes les menaces probables.

J'ai l'habitude de mettre à zéro le secteur de démarrage et de mettre à jour (ou simplement de reflasher) le BIOS dans de tels cas également, juste pour me prémunir contre une persistance particulièrement résistante. C'est inutile presque tout le temps, car les virus persistent généralement sur le réseau ou dans le système d'exploitation, mais si vous voulez être sûr, vous devez également prendre des précautions contre d'autres types de persistance.

En signalant une autre question comme dupliquée, j'écrivais également la réponse, je vais donc la laisser ici juste au cas où cela serait utile pour quelqu'un:

Pour être réaliste, cela éliminera presque tous les types de logiciels malveillants.

Mais.

< mode paranoïaque>

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

Masquage des données dans les zones de disque dur "inaccessibles": https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard -drive /

D'autres que je pourrais manquer.

< / mode paranoïaque>

Pour résumer. Il existe des moyens d'infection qui resteront après avoir effectué ces procédures de réinstallation, mais pour que cela reste " réel ", vous vous débarrasserez de presque toutes les infections de logiciels malveillants standard.

( dès que vous ne serez plus infecté lors de l'installation bien sûr. Installateurs de système d'exploitation avec des logiciels malveillants / publicitaires tels que ces "activateurs" et autres ... )