¿Se podría volver a confiar en la máquina infectada alguna vez?

22

Estoy a punto de cambiar a una nueva unidad SSD, así que pensé que es una buena ocasión para un comienzo realmente nuevo. Reconsideré todas las piezas de software instaladas, desinstalé un montón de basura (sorprendentemente, mi sistema comenzó a ser más receptivo;]) y verifiqué virus y otras cosas (ya que no quería transferir ningún malware a mi nuevo sistema brillante) .

Durante la exploración de virus, un archivo apareció como sospechoso, y luego comencé a preguntarme ... Aunque no tengo ninguna prueba directa de que alguna vez encontré una infección grave, como actos realmente extraños de reinicio / bsods / problemas con Aplicaciones, y tomé muchas precauciones (siempre mantuve mi software actualizado, usé la extensión "noscript" de firefox, mantuve Java desactivado, usé sandboxes, AV, etc.), tal vez algo resbaló.

Y si algo se desliza - todo está comprometido. Toda esperanza se ha ido ...;]

Comencé a preguntarme sobre el estado actual del malware. ¿Es capaz de

  • propagación en unidades USB conectadas (en ese caso, todas mis copias de seguridad están comprometidas);
  • propagación a través de la red local (en cuyo caso todas mis otras PC también están comprometidas);
  • infectar mi partición de restauración (¡yay! esto se está volviendo aterrador);
  • infectar mi BIOS / UEFI (solo lo suficiente para que pueda volver a descargar su paquete completo y comenzar a propagarse nuevamente) ...

¿Los autores de malware son capaces de crear virus como estos? Es decir, los virus que pueden propagarse a través de todos los dispositivos posibles de tal manera que siempre permanezcan ocultos a los usuarios y se propaguen sin respuesta. Eventualmente, cada máquina se infectaría; incluso las nuevas, las máquinas actualmente en la fábrica se infectarían, y así sucesivamente, y así sucesivamente ...

Tal vez ya haya sucedido. ¿Están nuestras computadoras viviendo en su propia "matriz de virus"? El Vitrix? ;]

Ok, bromas aparte. Probablemente sea imposible crear dicho software, así que volvamos a mi pregunta original, más simple, que involucra solo a una máquina infectada:

¿Se podría volver a confiar en cualquier máquina, una vez infectada,

    
pregunta vandalizmo 06.03.2013 - 18:26
fuente

2 respuestas

27

En teoría, no, ya no se puede confiar en una máquina infectada. En la práctica, a menudo es suficiente borrar el disco duro (o simplemente quitarlo e insertar uno nuevo), aunque algún virus se ha sabido que vuelve a flashear parte de la BIOS, por pura devastación sin sentido, o para hacer que el virus sea resistente al formateo del disco. Algunas placas base no permitirán volver a flashear a menos que un puente específico esté físicamente conectado, lo que al menos protege contra el flasheo hostil; Si no está seguro, consulte la documentación de su placa base (si usa una computadora portátil, probablemente no tenga suerte).

Aparte de la BIOS, otros dispositivos pueden tener firmwares flasheable. Se ha realizado una demostración en el caso de algunos teclados de Apple.

Si bien todo esto significa que una máquina dañada una vez no puede volver a confiarse realmente de nuevo, plantea la pregunta hermana, que es: ¿por qué podrías confiar en la máquina en primer lugar? Realmente no sabes dónde ha estado (al menos no con más precisión que "alguna fábrica en el sur de China"). Una posible respuesta es que si el atacante logró plantar algún malware que resistió una reinstalación completa de la máquina, entonces probablemente merece quedarse allí. Al menos, esta pieza de malware ha sido escrita por alguien que es técnicamente competente, lo cual es refrescante. Sería un gran día si pudiera decir lo mismo de la mayoría del otro software que ejecuta en su máquina.

    
respondido por el Tom Leek 06.03.2013 - 18:48
fuente
3

Una computadora infectada que desde entonces ha sido "desinfectada" por varios antivirus / analizadores antimalware diferentes debe clasificarse en una categoría entre los dispositivos "De confianza" y "No de confianza", tal vez algo como "Desconfianza", para recordar eso. se sabe que ha sido "desinfectado" y, por lo tanto, no se puede determinar de manera confiable que sea absolutamente "confiable" de nuevo. Por ejemplo, no realizaría transacciones de alta seguridad en un sistema desconfiado: operaciones bancarias, compras con tarjeta de crédito, información confidencial de identificación personal, administración de infraestructura de red, acceso administrativo remoto, etc. De hecho, coloco un icono en cada computadora de escritorio que indica si el La computadora es de confianza, no es de confianza o desconfiada, por lo que su estado de seguridad me está mirando cara a cara cada vez que lo uso. Además, utilizo chips SD en lugar de unidades de memoria USB para el almacenamiento móvil precisamente porque pueden estar protegidos contra escritura, y segrego los medios extraíbles con un símbolo confiable o no confiable para no colocar un chip SD no confiable en una computadora confiable. Es mejor estar lo más seguro posible en lugar de jugar a la ruleta rusa con dispositivos cuestionables que pueden propagar malware oculto.

    
respondido por el Alan 18.01.2014 - 19:01
fuente

Lea otras preguntas en las etiquetas