¿Se puede almacenar un virus de computadora en otro lugar que no sea el disco duro?

136

¿Hay virus que han logrado esconderse en otro lugar que no sea el disco duro? ¿Te gusta la memoria caché de la CPU o en la placa base?

¿Es incluso posible? Digamos que tengo un virus, así que me deshago de la unidad de disco duro e instalo uno nuevo. ¿Podría el virus todavía estar en mi PC?

    
pregunta ivan_bilan 21.04.2016 - 11:06
fuente

11 respuestas

201

Un montón de lugares:

El hardware moderno tiene una amplia gama de almacenes de datos persistentes, generalmente utilizados para firmware. Es demasiado costoso enviar un dispositivo complejo como una GPU o una tarjeta de red y colocar el firmware en una máscara ROM donde pueda no se actualice, entonces tiene una causa de falla masiva recuerda. Como tal, necesita dos cosas: una ubicación grabable para ese firmware y una manera de colocar el nuevo firmware en su lugar. Esto significa que el software del sistema operativo debe poder escribir en el lugar donde está almacenado el firmware en el hardware (generalmente EEPROM).

Un buen ejemplo de esto es el estado de las modernas utilidades de actualización de BIOS / UEFI. Puede tomar una imagen UEFI y un ejecutable ejecutándose en su sistema operativo (por ejemplo, Windows), hacer clic en un botón y sus actualizaciones UEFI. ¡Sencillo! Si realiza una ingeniería inversa de cómo funcionan (lo que he hecho varias veces), se trata principalmente de un controlador de modo kernel que se carga y toma los datos de la página de la imagen UEFI dada y habla directamente con el chip UEFI utilizando out , enviando los comandos correctos para desbloquear el flash e iniciar el proceso de actualización.

Hay algunas protecciones, por supuesto. La mayoría de las imágenes de BIOS / UEFI no se cargarán a menos que estén firmadas por el proveedor. Por supuesto, un atacante lo suficientemente avanzado podría robarle la clave de firma al vendedor, pero eso va en las teorías de conspiración y los actores de amenaza divina, que simplemente no son realistas para luchar en casi cualquier escenario. Los motores de administración como IME están diseñados para tener ciertas protecciones que impiden el acceso a sus secciones de memoria incluso con el código ring0, pero las investigaciones han demostrado que existen muchos errores y muchas debilidades.

Entonces, todo está jodido, ¿verdad? Pues sí y no. Es posible colocar rootkits en hardware, pero también es increíblemente difícil. Cada computadora individual tiene tal variación en las versiones de hardware y firmware que es imposible construir un rootkit genérico para la mayoría de las cosas. No puedes obtener un BIOS de Asus genérico y transferirlo a cualquier placa; lo mataras Necesitará crear un rootkit para cada tipo de placa por separado, a veces hasta el rango de revisión correcto. También es un área de seguridad que involucra una gran cantidad de conocimiento de dominios cruzados, muy al fondo del hardware y los aspectos operativos de bajo nivel de las plataformas de computación modernas, junto con la seguridad sólida y el conocimiento criptográfico, por lo que no hay muchas personas capaces.

¿Es probable que te apunten? No.

¿Es probable que se infecte con un rootkit residente en BIOS / UEFI / SMM / GPU / NIC? No.

Las complejidades y variaciones involucradas son demasiado grandes para que el usuario promedio tenga que preocuparse realmente por ello. Incluso desde una perspectiva económica, estas cosas requieren una cantidad excesiva de habilidad, esfuerzo y dinero para construirlas, por lo que quemarlas en el malware del consumidor es una estupidez. Este tipo de amenazas son tan específicas que solo pertenecen realmente al modelo de amenaza del estado-nación.

    
respondido por el Polynomial 21.04.2016 - 11:42
fuente
41

La respuesta corta a tu pregunta es sí.

Aquí hay algunos lugares donde un virus podría esconderse:

  • En el firmware de su teclado, mouse, cámara web, parlantes, etc. Básicamente, todo lo que conecte a su computadora que tenga un firmware grabable.
  • En el firmware del disco duro . Algo así como en tu disco duro, pero aún sobrevive a un cambio de formato. Los NSA son probablemente sospechosos de eso.
  • En su BIOS o UEFI .
  • En días pasados, arranca sectores de disquetes. Esto era estándar entre los primeros virus, ya que en ese momento los disquetes se usaban a menudo como almacenamiento primario. Lo mismo ocurre con las memorias USB ahora.

Un virus podría apuntar a cualquier cosa donde haya datos de escritura que se traten como código ejecutable. En una computadora, eso es básicamente en cualquier parte. Sin embargo, para que sobreviva a un reinicio, tendría que ser algún tipo de almacenamiento persistente. Por lo tanto, la memoria caché de la CPU podría no ser el mejor lugar para esconderse.

Sin embargo, la mayoría de los virus no hacen esto y solo viven en el disco duro. Esto se debe a que los creadores de virus son (racionalmente perezosos). ¿Por qué optar por las opciones complicadas cuando hay un montón de fruta de baja altura?

    
respondido por el Anders 21.04.2016 - 11:30
fuente
13

Uno de los lugares más comunes pero no seleccionados es ... un dispositivo periférico con "disco de controlador integrado", como muchos dispositivos USB 3G / 4G. Tienen, técnicamente, un concentrador interno y un almacenamiento genérico con el dispositivo en sí. La actualización de su firmware generalmente actualiza una imagen de disco montada en la parte de almacenamiento genérico. Es de solo lectura desde la PC en uso habitual, pero se vuelve a asignar fácilmente como un CD-ROM con reproducción automática . El que yo mismo experimenté en 2006-2008 fue un stick 4G para un proveedor local de celulares. Contenía CD-ROM como almacenamiento listo para usar desde el punto de venta local, reproducción automática y torjan incluidos =) Siguiente parche de firmware - y el almacenamiento se vuelve a asignar a la unidad de disco duro y no contiene virus.

    
respondido por el Alexey Vesnin 21.04.2016 - 16:51
fuente
11

El principal problema para cualquier tipo de almacenamiento es que el sistema debe estar dispuesto a ejecutar el malware. Durante el inicio del sistema operativo, esto significa que tiene que estar en algún lugar como un archivo ejecutable, DLL, controlador o similar en el disco duro. No es necesario que esté completamente allí, es decir, puede ser un pequeño elemento cargable y el resto puede residir en otro lugar (incluso en la red).

Pero el malware también se puede cargar antes de que se ejecute el sistema operativo. La carga del sistema operativo está controlada por el BIOS o UEFI, por lo que si el malware ya está contenido en esta etapa, está fuera del control del sistema operativo. Para ver un ejemplo, consulte Equipo de hacking el malware utiliza un rootkit UEFI para sobrevivir a las reinstalaciones del sistema operativo .

Aparte de eso, tiene firmware en la tarjeta de red, la tarjeta gráfica, el disco duro, etc., que a menudo se pueden reemplazar. Por lo tanto, algunos programas maliciosos también podrían esconderse allí y cambiar el comportamiento del sistema, consulte Cómo funciona el hacking de firmware de la NSA y Por qué es tan inquietante .

    
respondido por el Steffen Ullrich 21.04.2016 - 11:31
fuente
6

Hubo algunas cosas que me vinieron a la mente cuando leí la pregunta que se extiende más allá del alcance del ejemplo dado. Hay otros lugares donde se puede almacenar un virus además en un disco duro o incluso en una computadora. Un par de esos lugares serían bacterias (específicamente E. coli) y su ADN .

Según algunas investigaciones realizadas cerca de 2010, se demostró que E. coli no solo podía almacenar datos (o un virus) sino que también ofrece bioencriptación.

Más recientemente, los científicos han descubierto que pueden almacenar hasta 700 TB de datos en 1 gramo de su ADN. La ventaja sería que es un almacenamiento a largo plazo si se almacena correctamente.

Entonces, a medida que la industria de la tecnología se acerca a la integración de la tecnología y nuestra biología, es posible que tengan que mirar más allá de nuestro disco duro, BIOS, memoria, GPU, etc.

    
respondido por el Josh 22.04.2016 - 00:25
fuente
5

Además de una excelente respuesta de Polinomio, hay algunas opciones más:

  • otro dispositivo en la red, obviamente (por ejemplo, otra computadora que infecta samba comparte, un enrutador que agrega exploit a su página web, ...)
  • El dispositivo USB (por ejemplo, un disco flash) cambia secretamente a un teclado y escribe / descarga el malware en la computadora host
respondido por el Edheldil 21.04.2016 - 18:15
fuente
2

No estoy seguro de si alguna otra parte de la computadora fue utilizada por un virus, pero hace mucho tiempo apareció BADBIOS

¿Qué hace bios defectuosos ?

Radio (SDR) program code, even with all wireless hardware removed.


It is said to infect the firmware on USB sticks.

It is said to use TTF (font) files, apparently in large numbers, as a vector when spreading.

Aparte de lo anterior, no solo es un virus que ataca a una máquina, había muchos tipos de rootkits disponibles como PCI rootkit

En resumen, el virus puede residir en BIOS o en cualquier fuente, pero requiere algún punto de ejecución que carezca de hardware.

Editar después de la pregunta:

Según la pregunta, sí, había posibilidades de virus que podrían transferirse a tu nuevo disco duro, por ejemplo, considera rootkits como jellyfish , pero notablemente estos casos fueron raros para usuarios finales normales

    
respondido por el BlueBerry - Vignesh4303 21.04.2016 - 11:18
fuente
2

La respuesta es SÍ, se pueden ocultar en muchos otros lugares, no solo en su HDD, sino también en otros dispositivos de almacenamiento que haya conectado a su PC.

  • En los primeros días, solía tener muchos problemas con la opción "Autorun" de CD / DVD en mi Microsoft Windows. Los virus fueron capaces de crear automáticamente "Autorun.inf" en medios grabados y usarlos para ejecutar e infectar automáticamente en una PC nueva cuando inserto la ROM afectada en el lector.

  • El uso del virus para infectar una unidad flash USB automáticamente y se propaga solo si la unidad flash se inserta en un sistema no infectado.

Estas son dos áreas principales, donde debe estar su enfoque principal.

Si ha logrado eliminar Virus de su HDD, no olvide consultar el Registro de Windows en estas ubicaciones: (créame, he deshabilitado muchos archivos de Virus que se están ejecutando, eliminando las entradas desconocidas de las siguientes ubicaciones);

¡Ejecuta "regedit" para abrir el Editor del Registro de Windows y navega para ver debajo de las dos ubicaciones en busca de entradas de registro sospechosas!

HKEY_CURRENT_USER: Software: Microsoft: Windows: CurrentVersion: Run

HKEY_LOCAL_MACHINE: SOFTWARE: Microsoft: Windows: CurrentVersion: Run

    
respondido por el Kiran 21.04.2016 - 20:48
fuente
2

En caso de que esté utilizando una CPU personalizada que funcione como un diseño basado en la arquitectura de Harvard, un virus puede inyectar la ROM en la que están almacenados los códigos de instrucciones, pero es un proceso muy difícil cambiar el valor de la ROM de esa manera. Todavía es una inyección.

    
respondido por el B. Koksal 22.04.2016 - 10:52
fuente
-4

En una hoja de papel, que luego se escribe en el teclado (¿OCR se escribe?).

La más obvia es la firma del virus de prueba EICAR :

  

"X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7} $ EICAR"
    "- ESTÁNDAR-ANTIVIRUS-ARCHIVO DE PRUEBA! $ H + H *"

Si une las dos cadenas y lo guarda como un archivo ejecutable (un archivo ".com" en las plataformas MSDOS o Windows de 32 bits), se supone que cualquier programa antivirus que se precie lo trate de la misma manera. Manera como si de un virus se tratara. Tenga en cuenta que esto se puede ingresar específicamente con caracteres que se pueden generar desde un "teclado" simple de vainilla.

    
respondido por el Stephen Lyons 22.04.2016 - 19:25
fuente
-5

La memoria caché de la CPU se restablece cada vez que reinicia su PC. También puede escribir solo en el disco duro o en cualquier periférico extraíble

    
respondido por el Cricco95 21.04.2016 - 11:10
fuente

Lea otras preguntas en las etiquetas