Question:
Un virus informatique peut-il être stocké ailleurs que sur le disque dur?
ivan_bilan
2016-04-21 14:06:18 UTC
view on stackexchange narkive permalink

Y a-t-il des virus qui ont réussi à se cacher ailleurs que sur le disque dur? Comme le cache du processeur ou sur la carte mère?

Est-ce même possible? Disons que j'ai un virus, alors je me débarrasse du disque dur et j'en installe un nouveau. Le virus est-il toujours présent sur mon PC?

Disquettes - Je me souviens avoir eu à gérer des virus sur des disquettes sur mon Amiga, et qui n'avait même pas de disque dur.Il en va de même pour tous les autres supports amovibles tels que les clés USB qui peuvent exécuter automatiquement du code lorsqu'ils sont insérés dans l'ordinateur.Même les supports en lecture seule tels que les CD-ROM peuvent avoir été livrés avec des virus.
Un peu plus abstrait, mais j'ai eu une fois un virus dans une machine virtuelle Windows, avec accès à mon vrai disque dur.Pas directement ce que vous demandez, d'où un commentaire.
Il y a des années, j'avais un virus sur ma carte mère (du moins je le suppose, car je ne pouvais pas l'expliquer avec autre chose).c'était comme en 2008 et mon ordinateur s'est comporté de façon étrange.beaucoup de fichiers au hasard où wirtten partout dans mes dossiers.Et 1 ou 2 redémarrages plus tard, quelque chose empêchait de démarrer à partir de ce disque dur.Je n'ai pas non plus pu réinstaller Windows sur ce disque dur.J'ai donc acheté un nouveau disque dur, débranché l'ancien et installé Windows.Les pilotes installés (ne se connectaient même pas à Internet jusqu'à présent) redémarrés ..... Mêmes fichiers où écrits sur le nouveau disque dur d'usine.1 redémarrage de plus et je ne pouvais plus l'utiliser également.J'ai acheté un nouveau PC.
Quelqu'un devrait écrire un virus pour une [ligne de retard Mercury] (https://en.wikipedia.org/wiki/Delay_line_memory#Mercury_delay_lines)
Un peu lié: http://security.stackexchange.com/q/111156/91904
Sans répondre à cette question, il est également préférable de savoir qu'un virus n'a pas besoin d'être stocké (à l'exception de l'instance en cours d'exécution dans la mémoire) s'il se propage assez rapidement.Dans ce cas, si tout le monde sur Internet éteint son ordinateur, le virus a disparu, mais ce n'est pas le cas.
Si vous voulez être effrayé ou impressionné en fonction de votre position, consultez la documentation de référence des fabricants de matériel.Par exemple, Dell propose un document appelé «Déclaration de volatilité» pour tous les serveurs.Il contient plusieurs pages avec l'inventaire du stockage du micrologiciel (inscriptible, flash) dans un serveur d'entreprise.Exemple: http://downloads.dell.com/manuals/common/poweredge-r720_white%20papers1_en-us.pdf
@Zaibis: Ce que vous décrivez peut également être causé par une simple panne du contrôleur de lecteur intégré.Le remplacement du mobo aurait dû être suffisant, en supposant que la panne n'était pas induite par autre chose (comme un P / S marginal, ou un autre composant capable d'injecter des transitoires dans le bus d'alimentation ou le bus de données).
Il y a des virus qui se cachent sur le firmware du matériel.Pensez-y.Le pilote à l'intérieur de votre GPU est infecté (ou toute autre partie de votre ordinateur).Ensuite, vous êtes fondamentalement désossé.Même lorsque vous fouettez votre PC complet, le malwsre reste là et probablement le seul moyen de récupérer est de flasher le matériel ou de le remplacer.Étant donné que vous avez jamais la chance de le localiser.C'est le truc vraiment méchant
@Zaibis: A eu ce comportement une fois aussi.Comme le décrit Eric, il s'agissait probablement d'une défaillance du contrôleur mobo.Pour moi, c'était encore pire qu'un virus, car il peut se cacher beaucoup plus longtemps que votre virus typique et c'était complètement "multiplateforme": P
@JonasDralle Que devrait être un "pilote dans votre GPU"?!Comment ce code serait-il exécuté et réinfecté le PC?
Onze réponses:
Polynomial
2016-04-21 14:42:47 UTC
view on stackexchange narkive permalink

De nombreux emplacements:

Le matériel moderne dispose d'un large éventail de magasins de données persistants, généralement utilisés pour le micrologiciel. Il est beaucoup trop coûteux d’expédier un périphérique complexe comme un GPU ou une carte réseau et de placer le micrologiciel sur une ROM de masque où il ne peut pas être mis à jour, puis d’avoir une erreur provoquant des rappels en masse. En tant que tel, vous avez besoin de deux choses: un emplacement inscriptible pour ce micrologiciel et un moyen de mettre le nouveau micrologiciel en place. Cela signifie que le logiciel du système d'exploitation doit être capable d'écrire là où le micrologiciel est stocké dans le matériel (généralement des EEPROM).

Un bon exemple de ceci est l'état des utilitaires de mise à jour du BIOS / UEFI modernes. Vous pouvez prendre une image UEFI et un exécutable s'exécutant sur votre système d'exploitation (par exemple Windows), cliquer sur un bouton et vos mises à jour UEFI. Facile! Si vous procédez à une ingénierie inverse de leur fonctionnement (ce que j'ai fait plusieurs fois), il s'agit principalement d'un pilote en mode noyau chargé qui prend les données de page de l'image UEFI donnée et parle directement à la puce UEFI en utilisant le out , en envoyant les commandes correctes pour déverrouiller le flash et démarrer le processus de mise à jour.

Il y a bien sûr quelques protections. La plupart des images BIOS / UEFI ne se chargeront que si elles sont signées par le fournisseur. Bien sûr, un attaquant suffisamment avancé pourrait simplement voler la clé de signature au fournisseur, mais cela entre dans les théories du complot et les acteurs de la menace divine, qui ne sont tout simplement pas réalistes pour se battre dans presque tous les scénarios. Les moteurs de gestion comme IME sont censés avoir certaines protections qui empêchent l'accès à leurs sections de mémoire même par le code ring0, mais des recherches ont montré qu'il existe de nombreuses erreurs et de nombreuses faiblesses.

Donc, tout est vissé, non? Eh bien, oui et non. Il est possible de mettre des rootkits dans le matériel, mais c'est aussi incroyablement difficile. Chaque ordinateur individuel a une telle variance dans les versions de matériel et de micrologiciel qu'il est impossible de créer un rootkit générique pour la plupart des choses. Vous ne pouvez pas simplement obtenir un BIOS Asus générique et le flasher sur n'importe quelle carte; vous allez le tuer. Vous devrez créer un rootkit pour chaque type de carte distinct, parfois jusqu'à la plage de révision correcte. C'est aussi un domaine de sécurité qui implique une énorme quantité de connaissances inter-domaines, allant jusqu'au matériel et aux aspects opérationnels de bas niveau des plates-formes informatiques modernes, ainsi que de solides connaissances en matière de sécurité et de cryptographie, donc peu de gens sont capables. p>

Êtes-vous susceptible d'être ciblé? Non.

Êtes-vous susceptible d'être infecté par un rootkit BIOS / UEFI / SMM / GPU / NIC? Non.

Les complexités et les variations impliquées sont tout simplement trop grandes pour que l'utilisateur moyen ait jamais à s'en soucier de manière réaliste. Même d'un point de vue économique, ces choses demandent une quantité excessive de compétences, d'efforts et d'argent à construire, donc les brûler sur des logiciels malveillants grand public est idiot. Ces types de menaces sont tellement ciblés qu’elles n’appartiennent jamais qu’au modèle de menace de l’État-nation.

N'oubliez pas le cas le plus simple: une clé USB.Si une clé USB a provoqué l'infection, elle infectera à nouveau le nouveau disque dur.
@Bergi J'ai pris la question d'exclure complètement les supports de stockage de masse traditionnels, mais oui, c'est vrai.Vous pouvez également inclure les smartphones dans cette catégorie.
Cela dépend vraiment de ce que «vous» représente. Utilisateur de bas niveau comme vous et moi?Bien sûr que non.Journaliste de haut niveau faisant des reportages sur des sujets controversés?La réponse est un peu plus sophistiquée.Soyez prudent, ne blessez jamais quelqu'un ...
C'est plus que juste le contenu du lecteur flash.N'y avait-il pas un PoC pour infecter le firmware USB?
@Nate Oui, il est connu sous le nom de badusb, mais pour pratiquement toutes les raisons décrites ci-dessus pour les autres types de matériel, il est également peu probable que badusb soit une menace pour l'utilisateur moyen.
Notez que des logiciels malveillants comme celui qui a infecté les centrales nucléaires iraniennes ont également été découverts plus tard pour infecter les centrales électriques et les ordinateurs portables allemands des gens ordinaires.C'est le problème avec les logiciels malveillants conçus pour infecter les installations sécurisées: par définition, ils doivent faire tout leur possible.Un tel malware, étant donné qu'il a été conçu pour cibler un matériel spécifique (dans ce cas, un équipement fabriqué par Siemens), il est peu probable qu'il endommage votre PC.Mais ce n'est pas parce que vous n'avez pas été délibérément ciblé que votre PC ne sera pas potentiellement infecté.
Alors que j'ai tendance à convenir que ces vecteurs de menace sont peu probables, ne sommes-nous pas en fait en train de relancer une variante de l'ancien argument de la «sécurité par l'obscurité»?
@ViktorToth Oui, mais c'est quelque peu hors de propos lorsque nous parlons de modélisation des risques.Ce n'est pas autant d'obscurité que de limiter l'applicabilité des logiciels malveillants à un très petit écosystème, ce qui ne vaut pas la peine pour un attaquant à moins qu'il ne soit destiné à être ciblé.L'économie d'attaque est une partie importante du modèle de menace.
@slebetman La différence ici est que la * payload * de Stuxnet a été conçue pour s'interfacer avec un périphérique PLC spécifique connecté au système.Dans ce cas, nous parlons de vecteurs de persistance génériques, pas de charges utiles, ce qui est une distinction importante.Bien que vous puissiez être infecté par un logiciel malveillant avec une telle fonctionnalité (ce qui serait encore peu probable), les chances qu'il puisse réellement se «cacher» de la manière prévue sont infinitésimales.De même, le groupe motopropulseur allemand infecté avait simplement Stuxnet sur un ordinateur qui se trouvait dans le groupe motopropulseur, et il n'a pas déclenché sa charge utile prévue.
@Polynomial: Correct.C'est ce que j'ai dit.Ce n'est pas parce que vous n'êtes pas ciblé que vous ne serez pas infecté.N'oubliez pas que la charge utile et l'infection sont deux choses différentes.Je ne sais pas pour vous, mais je ne suis pas à l'aise avec les virus sur mon PC, quelle que soit la météo où la charge utile est déployée.Il est déjà assez difficile de vivre avec des bugs dans les programmes réguliers.Bogues potentiels dans les virus qui peuvent finir par faire des choses aléatoires sur mes fichiers dont je peux vivre sans.
@slebetman C'est vrai, mais je préfère avoir des logiciels malveillants sur mon système que je peux détecter et trier de manière appropriée plutôt que des logiciels malveillants sur mon système qui ruinent mon matériel.
Il est également possible que les logiciels malveillants ne se cachent que dans la mémoire (RAM).Surtout sur les serveurs - qui sont rarement redémarrés - cela devient populaire.
@rugk C'est presque impossible à faire sans jamais toucher le disque, cependant.Bien que des tentatives aient été faites, des problèmes tels que la pagination et la nécessité de supprimer des bibliothèques pour les injecter dans les processus dans des répertoires temporaires signifient en fin de compte que les logiciels malveillants résidant en mémoire ne sont souvent pas entièrement résidents en mémoire.
Si vous êtes vraiment paranoïaque, votre disque dur peut contenir un malware sur son firmware.J'ai lu il y a quelque temps sur l'exécution de Linux à partir de la puce matérielle elle-même.Le disque dur avait un processeur ARM, 32 Mo ou de la mémoire et suffisamment pour y exécuter un shell.Vous pouvez le lire sur http://spritesmods.com/?art=hddhack
Juste une petite correction.Les logiciels malveillants ne peuvent pas se stocker dans SMM, ils peuvent simplement s'y cacher au moment de l'exécution car SMM n'est pas persistant.Dès que l'ordinateur s'arrête, tout ce qui s'exécute dans un contexte de gestion système (anneau -2) est perdu.De plus, vous confondez SMM et ME.SMM est complètement différent du Management Engine, qui est en anneau -3.Le ME a son propre micrologiciel (stocké dans le BIOS), qui est en fait persistant, tandis que SMM est juste un mode privilégié plus élevé disponible pour l'exécution sur le CPU.
En fait, il y a un troisième problème avec cette réponse que je dois souligner.Vous avez mentionné le Jellyfish PoC (le malware résidant sur le GPU).Il n'est pas non plus persistant lors des redémarrages.Comme SMM, il est simplement conçu pour pouvoir se cacher des IDS traditionnels.Alors qu'en théorie, le micrologiciel du GPU pourrait être écrasé pour créer une véritable cachette persistante pour les logiciels malveillants, ce n'est pas ce à quoi vous vous êtes lié.Et le document Quest to the Core, qui parle de microcode et autres, n'est pas non plus pertinent pour la question.Le microcode doit être réappliqué à chaque démarrage.Il est perdu lorsque le système s'arrête.
Dans l'ensemble, chacun de ces endroits que vous avez mentionnés, à l'exception du BIOS / UEFI, sont des cachettes temporaires que les logiciels malveillants peuvent utiliser pour échapper à l'IDS et maintenir des privilèges plus élevés.Aucun d'entre eux n'est utilisé pour persister lors des redémarrages ou des réinstallations.De plus, je pense que vous avez confondu IME avec SMI (le document Phrack que vous avez mentionné ne parlait pas du tout de l'IME, uniquement des SMI, qui sont utilisés pour se lancer dans le contexte SMM).Je pense que toute cette réponse comprend mal la question et répertorie les endroits où les logiciels malveillants peuvent se cacher d'un IDS, et non les endroits où les logiciels malveillants peuvent être stockés. Et la plupart des systèmes n'utilisent-ils pas MLC NAND au lieu d'EEPROM de nos jours?
@forest Si vous infectez ces zones, vous pouvez implémenter des logiciels malveillants avec des capacités spécifiques.Par exemple, infecter le micrologiciel d'une carte réseau vous donne un accès DMA à toute la mémoire système et à un canal d'exfiltration caché qui ne peut pas être vu par le système d'exploitation.Le malware GPU peut à nouveau DMA, il a donc un contrôle total sur le système, bien qu'il ne puisse pas communiquer directement (enfin, en fait, il le peut, si vous connectez un téléviseur connecté à Internet via HDMI, en raison de HEC).Les GPU ont également un firmware.Le fait est que ces endroits stockent le code et que la modification de ce code permet un rootkit furtif persistant.
C'est vrai, mais pour accéder à ces endroits, vous avez besoin des privilèges requis pour obtenir les capacités DMA en premier lieu, donc ce n'est pas non plus privesc.Il ne sert vraiment à rien de passer au GPU une fois que vous avez déjà la sonnerie 0, à part pour se cacher du reste du système et déranger secrètement les choses via DMA.Cela ne vous laissera pas survivre à un redémarrage.Sauf si j'ai mal compris la question d'OP, il ne pose pas de question sur un rootkit furtif, mais sur un rootkit qui est stocké dans des endroits autres que le disque dur, comme le BIOS, etc. (pas seulement un qui se cache d'un IDS).
N'y a-t-il pas des puces dédiées chargées de lire si le logiciel à installer et de vérifier s'il est signé?
@TrevörAnneDenise Pas vraiment;il existe des fonctionnalités dans certaines plates-formes matérielles pour essayer de renforcer l'intégrité et l'authenticité du code (par exemple ARM TrustZone et UEFI SecureBoot), mais dans la pratique, elles se sont avérées insuffisantes en raison d'erreurs de mise en œuvre ou d'un support médiocre du fournisseur.
@TrevörAnneDenise Le problème est que ces systèmes ont (en grande partie) été truqués par un jury dans des architectures existantes pour résoudre des problèmes survenus des décennies après la conception initiale du système.En tant que telles, les fonctionnalités ont tendance à avoir des exigences et des limites alambiquées, affaiblissant leurs capacités et augmentant les coûts de mise en œuvre.En outre, la signature de code est une question difficile sur les machines à usage général - qui devrait être autorisé à signer du code?Si vous le limitez, cela étouffe votre liberté de choix du système d'exploitation.Si vous l'ouvrez à n'importe qui, comment empêcher la signature de logiciels malveillants?C'est un choix UX difficile.
C'est compréhensible !
Anders
2016-04-21 14:30:27 UTC
view on stackexchange narkive permalink

La réponse courte à votre question est oui.

Voici quelques endroits où un virus pourrait se cacher:

  • Sur le firmware de votre clavier, souris, webcam, haut-parleurs, etc. En gros, tout ce que vous connectez à votre ordinateur et qui possède un micrologiciel inscriptible.
  • Sur votre micrologiciel de disque dur. Sorte de votre disque dur, mais survit toujours à un reformatage. La NSA est probablement suspecte pour celui-là.
  • Dans votre BIOS ou UEFI.
  • Autrefois, démarrez des secteurs de disquettes. C'était la norme parmi les premiers virus, car à l'époque, les disquettes étaient souvent utilisées comme stockage principal. Il en va de même pour les clés USB maintenant.

Un virus pourrait potentiellement cibler tout ce qui contient des données inscriptibles qui sont traitées comme du code exécutable. Sur un ordinateur, c'est pratiquement n'importe où. Pour qu'il survienne à un redémarrage, il faudrait cependant qu'il s'agisse d'une sorte de stockage persistant. Le cache du processeur n'est donc peut-être pas le meilleur endroit pour se cacher.

La plupart des virus ne le font pas, et vivent simplement sur le disque dur. C'est parce que les auteurs de virus sont (rationnellement) paresseux. Pourquoi opter pour les options compliquées alors qu'il y a beaucoup de fruits à portée de main?

Ah oui, j'ai oublié le firmware du disque dur de ma réponse.Travis Goodspeed a fait un discours intéressant à ce sujet il y a quelque temps, en produisant un disque anti-criminalistique.L'idée était que les modèles normaux de lecture / écriture et de commande ATA du système d'exploitation sont assez uniques, mais les bloqueurs d'écriture, les logiciels de criminalistique et les cloneurs (par exemple, `dd`) envoient des modèles totalement différents, ce qui facilite la détection d'un disque en cours d'analyse médico-légale.Le disque s'essuie ensuite avec un motif répété des paroles de Never Gonna Give You Up de Rick Astley.
@Polynomial Cela compte-t-il comme un Rickroll?
quoi que ce soit avec le firmware, en effet.y compris les imprimantes
Les claviers ont un firmware inscriptible?Je savais que certaines souris chères le savaient, mais je ne connaissais aucun clavier qui le faisait.Je suis un peu triste de découvrir cela, étant donné que je fais partie de ces personnes qui préfèrent toujours utiliser un clavier et une souris PS / 2 ... Interruptions à la demande> un conducteur stupide interrogeant 5000 fois par seconde, imo.
@forest Ce n'est pas standard, mais je pense qu'il y en a.Je pourrais me tromper sur celui-ci, cependant.
@forest - il y a quelque temps, il y a eu une attaque prouvée contre le micrologiciel du clavier Mac, je pense qu'elle a été écrite sur Hackaday.Aucune raison de penser qu'ils sont uniques cependant.De nos jours, tout a un micro car c'est juste moins cher que de créer des fonctionnalités dans le matériel, et les micros très capables (et donc utilement infectables) sont si bon marché maintenant.
http://www.zdnet.com/article/criminals-push-malware-by-losing-usb-sticks-in-parking-lots/ et http://www.instructables.com/id/USB-Mouse-Flash-Drive-Piratage /
@Polynomial N'était-ce pas cette écriture dans PoC || GTFO et spécifiquement pour les disques durs iPod?Je me souviens qu'il a apporté des modifications au micrologiciel de l'iPod qui s'est interfacé avec le lecteur, pas avec le micrologiciel du lecteur lui-même (bien que vous puissiez naturellement faire la même chose dans le micrologiciel du lecteur).
@forest Oui, une meilleure citation serait [hddhack over at spritesmods] (https://spritesmods.com/?art=hddhack).
Alexey Vesnin
2016-04-21 19:51:38 UTC
view on stackexchange narkive permalink

L'un des endroits mais non contrôlés les plus courants est ... un périphérique avec "disque de pilote intégré", comme beaucoup de clés USB 3G / 4G. Ils ont - techniquement - un concentrateur à l'intérieur, et un stockage générique + l'appareil lui-même dessus. La mise à niveau de son micrologiciel met généralement à niveau une image disque montée sur la partie de stockage générique. Il est en lecture seule à partir d'un PC utilisé régulièrement, mais il est facilement reconfiguré sous forme de CD-ROM avec lecture automatique . Celui que j'ai moi-même expérimenté en 2006-2008 était une clé 4G pour un fournisseur de téléphonie mobile local. Il contenait un CD-ROM comme un stockage prêt à l'emploi depuis le point de vente local, la lecture automatique et le torjan inclus =) Prochain correctif du micrologiciel - et un stockage est remappé sur le disque dur et aucun virus à bord.

J'aurais pensé que "autorun" serait désormais définitivement désactivé
@Xen2050 Attachez votre ceinture de sécurité: lorsque je passais de Windows 7 à 10, dans win7 autorun était désactivé.Dans win10 **, il a été à nouveau activé par l'installateur ** en même temps qu'il a migré tous les paramètres que j'avais
Steffen Ullrich
2016-04-21 14:31:09 UTC
view on stackexchange narkive permalink

Le principal problème de tout type de stockage est que le système doit être prêt à exécuter le malware. Pendant le démarrage du système d'exploitation, cela signifie qu'il doit être quelque part en tant qu'exécutable, DLL, pilote ou similaire sur le disque dur. Il n'a pas besoin d'être entièrement là, c'est-à-dire qu'il peut s'agir d'un petit élément chargeable et le reste peut résider ailleurs (même sur le réseau).

Mais les logiciels malveillants peuvent également être chargés avant que le système d'exploitation ne s'exécute. Le chargement du système d'exploitation est contrôlé par le BIOS ou l'UEFI, donc si le malware est déjà contenu dans cette étape, il est hors du contrôle du système d'exploitation. Pour un exemple, voir Le programme malveillant de l'équipe de piratage utilise un rootkit UEFI pour survivre aux réinstallations du système d'exploitation.

En dehors de cela, vous avez un micrologiciel sur la carte réseau, la carte graphique, le disque dur, etc. et ceux-ci peuvent souvent être remplacés. Ainsi, certains logiciels malveillants peuvent également s'y cacher et modifier le comportement du système, voir Comment fonctionne le piratage du micrologiciel de la NSA et pourquoi il est si perturbant.

Josh
2016-04-22 03:25:25 UTC
view on stackexchange narkive permalink

Il y a quelques choses qui me sont venues à l'esprit lorsque j'ai lu la question qui dépassent le cadre de l'exemple donné. Il existe d'autres endroits où un virus peut être stocké en plus sur un disque dur ou même sur un ordinateur. Quelques-uns de ces endroits seraient les bactéries (en particulier E. coli) et votre ADN

Selon certaines recherches effectuées cerca 2010 qui ont prouvé que E . coli pourrait non seulement stocker des données (ou un virus), mais aussi offrir un bio-cryptage.

Plus récemment, des scientifiques ont découvert qu'ils pouvaient stocker jusqu'à 700 To de données dans 1 gramme de votre ADN. L'avantage serait qu'il s'agit d'un stockage à long terme s'il est correctement stocké.

Ainsi, à mesure que l'industrie de la technologie se rapproche de l'intégration de la technologie et de notre biologie, ils devront peut-être regarder plus loin que notre disque dur, BIOS, mémoire, GPU, etc.

Voici quelques autres liens qui pourraient vous intéresser.io9.gizmodo.com/5699767/bioencryption-can-store-almost-a-million-gigabytes-of-data-inside-bacteria
Oh snap, je n'y ai pas pensé.
Intéressant, mais pour l'instant, ce n'est pas vraiment un endroit viable pour stocker un virus informatique qui réinfecterait un nouveau système d'exploitation (heureusement, je détesterais devoir nettoyer physiquement une carte mère et installer un "système d'exploitation propre")
Et si vous stockez le virus informatique dans un virus * réel *, nous en devenons tous porteurs!
Edheldil
2016-04-21 21:15:11 UTC
view on stackexchange narkive permalink

En plus d'une excellente réponse de Polynomial, il y a d'autres options:

  • un autre appareil sur le réseau, évidemment (par exemple un autre ordinateur infectant les partages de Samba, un routeur ajoutant un exploit à sa page Web, ...)
  • Périphérique USB (par exemple, disque flash) passant secrètement à un clavier et saisie / téléchargement du malware sur l'ordinateur hôte
BlueBerry - Vignesh4303
2016-04-21 14:18:50 UTC
view on stackexchange narkive permalink

Je ne sais pas si une autre partie de l'ordinateur a été utilisée par un virus, mais il y a longtemps est tombé sur BADBIOS

Que fait un mauvais bios? 

  Code de programme radio (SDR), même avec tout le matériel sans fil retiré.Il est censé infecter le micrologiciel sur les clés USB.Il est dit qu'il utilise des fichiers TTF (police), apparemment en grand nombre, comme vecteur lors de la propagation.

En dehors de ce qui précède, ce n'est pas seulement un virus qui attaque une machine, il y avait de nombreux types de rootkits disponibles comme PCI rootkit

En résumé, le virus peut résider dans le bios ou à n'importe quelle source, mais il nécessite un certain point d'exécution qui manque au niveau du matériel.

Modifier après question:

Selon la question, oui, il y avait des chances que le virus soit transféré sur votre nouveau disque dur, par exemple, considérez les rootkits comme méduses, mais notamment ces cas étaient rares pour les utilisateurs finaux normaux

"On dit qu'il se propage aux nouveaux ordinateurs victimes en utilisant les haut-parleurs d'un appareil infecté pour parler au microphone sur un appareil non infecté.", attends quoi?Par les ondes sonores?
@ivan_bilan une chose doit être notée ici, c'étaient les possibilités qui ont été dérivées théoriquement et des méthodes éprouvées décrivent comment cela peut être fait, mais ce type de rootkits, virus, spywares étaient très rares et rares parmi les utilisateurs finaux, donc pas besoin de s'inquiéterque http://blog.erratasec.com/2013/10/badbios-features-explained.html#.VxicW7NZNE4 regardez ici il y a une réponse beaucoup plus détaillée
L'article de sophos auquel vous avez lié suggère que badBIOS est peut-être un canular, car il n'a jamais affecté que Dragos Ruiu, le gars qui l'a signalé, personne n'a reproduit ses découvertes.
@ivan_bilan http: // www.jocm.us / uploadfile / 2013/1125 / 20131125103803901.pdf
C'est énormément de "On dit" nécessitant une myriade de fonctionnalités très avancées convergeant vers une seule personne.Est-ce que tout cela a déjà été vérifié?Je suis très sceptique et j'ai tendance à croire qu'il s'agissait simplement d'un canular étrange ou d'un épisode imaginaire.La lecture d'autres fils suggère qu'il s'agit d'un vieux chapeau et je ne suis pas seul dans cette interprétation de tout cela.
Kiran
2016-04-21 23:48:08 UTC
view on stackexchange narkive permalink

La réponse est OUI, ils peuvent se cacher dans de nombreux autres endroits, non seulement dans votre disque dur, mais également dans d'autres périphériques de stockage que vous avez connectés à votre PC.

  • Au début, j'avais l'habitude d'avoir beaucoup de problèmes avec l'option "Autorun" de CD / DVD dans mon Microsoft Windows. Les virus étaient si capables de créer automatiquement "Autorun.inf" sur un support de gravure et de l'utiliser pour s'exécuter et infecter automatiquement un nouveau PC lorsque j'insère la ROM affectée dans le lecteur.

  • Le virus est utilisé pour infecter automatiquement le lecteur flash USB et se propager d'eux-mêmes si le lecteur flash est inséré dans un système non infecté.

Ce sont deux domaines principaux, où votre l'objectif principal doit être.

Si vous avez réussi à supprimer Virus de votre disque dur, n'oubliez pas de vérifier le registre Windows à ces emplacements: (croyez-moi, j'ai désactivé de nombreux fichiers Virus en cours d'exécution, en supprimant entrées inconnues des emplacements ci-dessous);

Exécutez "regedit" pour ouvrir l'éditeur de registre Windows, et naviguez pour vérifier ci-dessous deux emplacements pour les entrées de registre suspectes !!

HKEY_CURRENT_USER: Software: Microsoft: Windows: CurrentVersion: Exécuter

HKEY_LOCAL_MACHINE: SOFTWARE: Microsoft: Windows: CurrentVersion: Exécuter

Je pense que si le disque dur était supprimé, le système d'exploitation (et toutes les entrées de registre) disparaîtrait avec lui.
B. Koksal
2016-04-22 13:52:45 UTC
view on stackexchange narkive permalink

Dans le cas où vous utilisez un processeur personnalisé fonctionnant comme une conception basée sur une architecture Harvard, un virus peut injecter la ROM dans laquelle les codes d'instructions sont stockés, mais c'est un processus très très difficile pour changer une valeur de ROM de cette façon. C'est toujours une injection

Stephen Lyons
2016-04-22 22:25:59 UTC
view on stackexchange narkive permalink

Sur une feuille de papier, qui est ensuite tapée au clavier (ou OCR?).

La plus évidente est la signature du virus de test EICAR:

"X5O! P% @ AP [4 \ PZX54 (P ^) 7CC ) 7} $ EICAR "
" -STANDARD-ANTIVIRUS-TEST-FILE! $ H + H * "

Si vous joignez les deux chaînes et enregistrez-le sous forme de fichier exécutable (un fichier ".com" sur les plates-formes MSDOS ou Windows 32 bits) alors tout programme antivirus qui se respecte est censé le traiter de la même manière que s'il s'agissait d'un virus. Notez que ceci est spécifiquement saisissable avec des caractères qui peuvent être générés à partir d'un simple "clavier" vanille.

Qu'est-ce qui est évident à propos d'EICAR à titre d'exemple?Tous les logiciels malveillants sont du code qui doit être compilé ou interprété.Je ne sais pas pourquoi EICAR est un exemple.Est-ce simplement parce qu'il est assez court pour que la personne moyenne puisse taper?
Je ne suis pas non plus sûr que l'impression soit considérée comme «se cacher» selon la question.
Ce n'est pas un virus.C'est juste une chaîne de test pour les programmes audiovisuels.Il n'y a aucun moyen pour ce fichier de se reproduire, d'être exécuté ou de faire quoi que ce soit que font les virus ou les logiciels malveillants.
Cricco95
2016-04-21 14:10:11 UTC
view on stackexchange narkive permalink

Le cache du processeur est réinitialisé chaque fois que vous redémarrez votre PC. Vous ne pouvez également écrire que sur le disque dur ou sur tout périphérique amovible

Mais peut-il être reconfiguré pour ne pas réinitialiser via un piratage du BIOS?
Le cache du processeur n'est pas géré par le BIOS.Le BIOS n'est qu'un système d'E / S de base
Le cache du processeur est juste une RAM rapide.Il ne peut pas persister après le redémarrage du processeur.
Le BIOS est certainement inscriptible par le système d'exploitation, en particulier dans UEFI.Comment pensez-vous que les outils de mise à jour Userland fonctionnent?
Vous pouvez écrire dans le BIOS et tout sur la même puce sur laquelle se trouve le BIOS (tables DSDT, etc.), vous pouvez écrire dans la NVRAM (mémoire CMOS, bien que je ne pense pas que vous puissiez y mettre des logiciels malveillants, et c'est probablement trop petitpour mettre une charge utile exploitable, étant seulement 144 octets généralement), et sur les futurs processeurs Skylake, le processeur lui-même aura un FPGA intégré.Vous pouvez également écrire sur le micrologiciel de nombreux périphériques PCI, qui peuvent monter une attaque DMA contre votre ordinateur et qui contiennent des ROM optionnelles.Donc non, pas seulement votre disque dur ou vos périphériques.
Bien que votre réponse ait produit un chat de commentaires intéressant, afaik ce n'est pas une réponse à la question originale.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...