¿Usar Linux para combatir el malware de la unidad flash de Windows?

Sí, hay una manera de ocultar un archivo de los exploradores de archivos de Windows y Linux, que es iniciar el nombre del archivo con un punto . y establecer los indicadores h y s . En Windows, se puede hacer usando la línea de comandos

ren file .file
attrib +h +s .file

Ahora el archivo no puede ser visto por Explorador de archivos , Nautilus , o Konqueror en su configuración predeterminada en máquinas limpias .

Cuando conectas tu disco flash en una máquina Linux y lo abres con Nautilus, puedes presionar Ctrl + H para mostrar todos los archivos ocultos. Una mejor solución es usar su shell favorito para ejecutar este comando en el directorio montado del disco flash.

ls -a

Nota: Si "limpia" la unidad flash con Linux y luego la vuelve a conectar a la máquina sospechosa de Windows, puede asumir que está infectada nuevamente.

Actualización: Intentaré abordar sus nuevas preocupaciones expresadas desde un punto de vista real y práctico .

Primero, en teoría. Existe una posibilidad de que la máquina Linux esté infectada con malware que la obliga a ocultar ciertos archivos (es decir, otros archivos de malware). Pero en realidad, las posibilidades son muy escasas. Pero como todo en seguridad, nunca puedes estar seguro.

Hablando en términos prácticos, conectar su disco flash infectado en una máquina con Linux y eliminar todos los archivos malos (suponiendo que sí sepa qué todos son los archivos malos) garantiza con una alta probabilidad de que su disco flash esté limpio. Siempre que no vuelva a enchufarlo en la máquina Windows infectada, es seguro usarla entre otras máquinas Windows limpias (suponiendo que esté seguro de qué máquinas están limpias).

Malware Los archivos ejecutables de Windows en una unidad Flash solo tienen sentido si se ejecutan, en algún momento, en una máquina Windows. Esto requiere que los archivos sean "visibles" para dicho Windows, al menos desde el punto de vista del kernel del sistema operativo. Que el archivo no se vea a través del explorador de archivos de Windows significa que el explorador de archivos está subvertido (es decir, infectado con malware propio), o que tiene un error grave que le impide mostrar archivos. De cualquier manera, si los archivos .exe son visibles desde un sistema Linux pero no desde un sistema Windows, entonces es probable que el sistema Windows esté dañado. Limpiar la unidad flash no es suficiente para curar la enfermedad ...

El malware que infecta tanto a Linux como a Windows es extremadamente raro; por lo tanto, se puede suponer, con una probabilidad agradablemente alta, que si una unidad Flash dada parece "vacía" tanto desde un sistema Windows como desde un sistema Linux, entonces probablemente esté realmente vacía. Esto no implica que ninguna de las dos máquinas esté "limpia".

Esto podría hacerse de un par de maneras, algunas bastante esotéricas, como parchear explorer.exe , de manera que se "omitirá" una lista negra específica de archivos creados por el autor del malware.

Otros métodos son bastante simples, como el atributo system file ya mencionado.

Si se trataba de una unidad de disco con formato NTFS, otro método muy popular entre los autores de malware aficionados es utilizar NTFS Alternativo Data Streams , que Microsoft en su sabiduría infinita decidió ocultar tanto del programa explorer.exe como del programa dir , lo que los hace un poco difíciles de desenterrar sin las herramientas adecuadas.

Solo el último método anterior, utilizando flujos de datos alternativos, tendrá algún efecto en Linux. Si no se han instalado los módulos de kernel NTFS adecuados, entonces los ADS son igualmente difíciles, si no más, difíciles de detectar en Linux a menos que vaya específicamente a buscarlos.

Parece que quieres saber cómo limpiar de forma segura la unidad flash para que no quede malware cuando se vuelva a conectar a tu máquina con Windows. Una forma garantizada de hacerlo es abrir el "Editor de particiones Gnome", que está disponible en muchas distribuciones de Linux por defecto (incluido Ubuntu).

Advertencia: esto eliminará todos los datos de su unidad flash, hará una copia de seguridad de todo lo que quiera guardar (pero no haga una copia de seguridad del malware)

Al abrir este programa, debería ver los diversos sistemas de archivos asociados con su computadora. Encuentra tu unidad flash entre ellos. bajo las opciones, debe elegir reformatear la unidad flash (recomiendo FAT 32 para un nuevo tipo de sistema de archivos. Es el valor predeterminado para la mayoría de las unidades flash). Una vez reformateado, todos los datos deberían desaparecer y usted debería estar listo.

Aquí hay una guía: enlace Tenga en cuenta que la unidad que está buscando es su unidad flash, NO su disco duro

Si no, encuentra una copia de DBAN y escribe ceros rectos a través de tu unidad flash. Luego vuelva a formatearlo como se muestra arriba para que pueda usarlo nuevamente. Esto requiere mucho tiempo y probablemente no sea necesario, pero si aún estás preocupado, esto hará el truco.

Guía: enlace De nuevo, asegúrese de que la unidad que está limpiando sea su unidad flash. Si algo no parece correcto, ¡NO LO HAGA! Los cambios realizados aquí son irreversibles.

No debe tener miedo de conectar una unidad USB potencialmente peligrosa a su sistema Windows si lo configura correctamente para evitar la infección automática.

Puede, por ejemplo, usar gpedit.msc y ir a:

- Computer Configuration
\ - Administrative Templates
 \ - Windows Components
  \ - AutoPlay Policies
    - Enable "Turn off AutoPlay" and select "All Drives"

Esto debería prevenir la infección automática de su sistema si hay una unidad USB con virus conectada. Aún así, debe tener cuidado al intentar abrir el Pen Drive, ya que al hacer "doble clic en la letra" se iniciará el virus de todos modos. En su lugar, busque la letra de la unidad con la barra de direcciones del Explorador de Windows (escriba "E: \" por ejemplo) y luego con Mostrar extensiones de lo conocido tipos de archivos y Ver archivos del sistema y ocultos habilitados, supongo que podrá identificar y eliminar posibles amenazas incluso mientras se usa el sistema operativo, este virus fue diseñado para.

Las unidades flash USB contienen un controlador de memoria flash IC con una CPU y firmware integrados. Es posible que en muchos casos se modifique el firmware de manera que un archivo limpio se cambie con una versión del archivo infectada con malware cuando se cumplan ciertas condiciones, como los patrones de acceso asociados con el acceso a la unidad de Windows o el arranque del sistema x86 desde de USB. También es posible que la unidad de memoria flash se cambie a cualquier otro dispositivo USB, como agregar una unidad de CD-ROM USB junto con la unidad de memoria flash (algunos firmwares predeterminados de la unidad de memoria flash son compatibles con esta función que se puede activar), o cambiarse a un teclado USB.

No hace falta decir que borrar completamente la unidad flash utilizando medios genéricos no eliminará este tipo de malware.

Estos serían ataques muy raros y avanzados, y además de requerir herramientas especiales específicas para el controlador flash, la eliminación de este tipo de malware puede ser imposible en algunos casos o requerir una reparación a nivel de hardware.

Primero, sí, un archivo de Windows oculto será visible en Linux, y no solo visible sino modificable, eliminable ... Puedes hacer lo que quieras. Es por eso que una de las mejores prácticas de seguridad más importantes es no permitir el acceso físico al sistema. Puedes imaginarte lo dañino que puede ser correr un livecd. ¿Cómo prevenir esto? Cifrado de partición.

Segundo, si la unidad flash está vacía en Linux, es probable que esté limpia. Solo recuerda limpiar Windows antes de usarlo nuevamente.