Hoy tengo Windows y Ubuntu instalados en mi SSD.
¿Qué sucede si, por alguna razón, obtengo un malware / virus (dirigido a Windows), tal vez descargando algo que no debería, mientras ejecuto Ubuntu?
¿El malware / virus encontrará un camino desde la partición de Ubuntu a la partición de Windows y eventualmente hará algo con mis archivos de Windows? Supongamos que he descargado algún malware (destinado a Windows) en mi partición de Ubuntu, ¿qué es probable que suceda?
Si tenía dos virus en juego, uno que infectó a Linux con una carga útil para infectar a Windows, entonces podría suceder conceptualmente. Sin embargo, un virus nativo de Windows no se puede ejecutar en Linux en absoluto. La razón por la que no pasaría nada tiene que ver con algo conocido como la "Interfaz binaria de la aplicación", o "ABI", para abreviar.
En Windows, la mayoría de las llamadas al sistema se realizan a través de algo llamado "INT 20h", mientras que en Linux, las llamadas al sistema se realizan a través de "INT 80h". Esto significa que un virus basado en Windows que intenta llamar al sistema a través de 20h simplemente terminará sin causar ningún daño, como INT 20h es un comando de" programa de terminación compatible con DOS ".
En realidad, la mayoría de los creadores de virus irán por el camino de menor resistencia: escriba un virus de Linux para infectar el sistema Linux que se ejecuta actualmente, y escriba un virus de Windows para infectar el sistema de Windows actualmente en ejecución. Se necesitaría una gran cantidad de esfuerzo adicional solo para escribir un virus cuyo único propósito era infectar un sistema operativo sin conexión.
Por lo que sé, sería mucho más fácil simplemente escribir un virus hipervisor que se ejecute "debajo" del sistema operativo, ya que el ABI no tendría ningún significado, ya que tendrían acceso directo al hardware y la memoria.
Por otro lado, si descarga un virus intencionalmente, por ejemplo, estaba tratando de obtener una copia de un juego de un recurso cuestionable, e hizo esto en Linux, pero descargó el archivo a su partición de Windows, y Más tarde ejecutó el programa en Windows, luego podría infectarse en ese momento. El punto principal, sin embargo, es que Linux es impermeable a los virus de Windows, y Windows es impermeable a los virus de Linux. Simplemente no hablan el mismo idioma.
En muchas configuraciones de inicio dual de Ubuntu es posible ejecutar código como un usuario sin privilegios que tiene la capacidad de escribir en la partición de Windows. Porque, si puede hacerlo con el administrador de archivos sin que se le solicite una contraseña del sistema, un malware podría montar la partición de Windows también con el mismo tipo de asistente. Y si el malware configura un archivo en la carpeta de inicio automático del usuario de Windows, se ejecuta en el siguiente arranque de Windows. O simplemente podría leer los archivos de Windows y enviarlos al atacante.
Si esta forma no es posible, el malware podría intentar usar un error de escalamiento de privilegios para obtener permisos de raíz o incluso del núcleo. Desde allí se puede montar y escribir en la partición de Windows o incluso configurar un malware BIOS / UEFI.
Y a veces ni siquiera se necesita una escalada de privilegios porque estás haciendo una instalación de software aparentemente inocente como root, como intentar instalar algún paquete de Python y haciendo un error tipográfico .
Por supuesto, el malware original debería diseñarse teniendo en cuenta esta configuración de inicio dual. Hay pocas posibilidades de encontrar un malware que se ejecute en Ubuntu (aparte del malware que se dirige a los servidores web), las posibilidades son incluso menores de que esté diseñado para infectar la partición de Windows en una configuración de arranque dual. Pero es posible y probablemente no sea difícil de implementar . Y especialmente si eres un objetivo interesante y el atacante conoce tu configuración, entonces podría intentar esta ruta de ataque.
Una forma de protegerse contra esto es cifrando la partición de Windows para que sea imposible acceder a los archivos desde fuera del sistema operativo Windows. Sin embargo, esto no protege contra ataques en el nivel de BIOS / UEFI.
Sí, es posible que un malware infecte la partición de Windows mientras estás usando Linux - fuente: me pasó.
Esto fue hace muchos años cuando estaba empezando con Linux. El sistema dualboot se estaba ejecutando actualmente en Linux, y quería intercambiar archivos entre dos computadoras utilizando Samba. Ya que hubo algunos problemas con él, eliminé todas las protecciones de seguridad y limitaciones en Samba una por una hasta que finalmente funcionó (o tal vez ni siquiera funcionó, no lo recuerdo).
Al reiniciar de nuevo en Windows poco después, varias alarmas me saludaron por el firewall personal, preguntándome si los programas xyz y foo tienen permiso para conectarse a Internet. Resultaron ser ejecutables de malware ubicados en c: \ windows \ system o similares.
Resulta que con mi compás de Samba en Linux, en realidad había compartido toda la unidad C: \ de Windows con permisos de escritura y sin ningún tipo de autenticación o limitación de dirección; y también aparentemente no tenía ningún firewall activado en Linux (o quizás también lo había deshabilitado). Como esto ocurrió en los días antes de que el enrutador SOHO fuera un lugar común, la computadora estaba conectada directamente a Internet a través de un módem DSL. Por lo tanto, algunos programas maliciosos encontraron mi recurso Samba de escritura (probablemente mediante el análisis de fuerza bruta de los rangos de IP), se copiaron en el directorio del sistema de Windows y también agregaron las entradas necesarias para los archivos de inicio automático que encontraron allí. Naturalmente, la infección permaneció inactiva mientras se ejecutaba Linux, pero se activó la próxima vez que inicié Windows.
Así que, concedido, esto fue un gran montón de f *** ups por mi parte; pero muestra que si eres lo suficientemente descuidado bajo Linux, puedes incluso infectar tu sistema Windows.
Si la partición de Windows está montada, cualquier usuario con permiso para escribir en ese montaje puede cambiar cualquier archivo a su gusto, sin las restricciones o permisos normales que se aplicarían cuando se inicie Windows. Esto podría permitir a un usuario malintencionado reemplazar archivos críticos del sistema para infectar Windows.
Dicho esto, no creo que haya ningún malware conocido que haga esto. Debería estar específicamente orientado a este escenario y requerir que la partición de Windows se monte con ciertos permisos.
Las otras respuestas explican bastante bien por qué el malware de Windows no se ejecuta en Ubuntu. Sin embargo, hay algunos lenguajes como Java, y los lenguajes más interpretados que son multiplataforma como PHP, Python, Ruby, etc., y el malware escrito en cualquiera de esos lenguajes se ejecutará bien en Windows, Mac, Linux e incluso BSD. p>
Suponiendo que el código malintencionado puede ejecutarse con éxito en Ubuntu, luego puede proceder a hacer lo que quiera, principalmente obteniendo root (utilizando un exploit del kernel, por ejemplo) y luego escribiendo en la partición de Windows para copiarse allí también. p>