¿Persiste el malware después de limpiar el disco duro y reinstalar el sistema operativo del disco del fabricante? [duplicar]

Navega tus respuestas
7

Esta pregunta está relacionada con una computadora a la que los usuarios que no son el propietario han tenido acceso durante períodos de varias horas a la vez. Se han tomado los siguientes pasos para limpiar la computadora:

  1. Asistente de partición usado para borrar la partición principal y la partición de recuperación.

  2. Inició una instalación limpia de Windows usando un disco de recuperación comprado al fabricante.

Si uno realiza los siguientes pasos, ¿eliminará todo el malware de una computadora comprometida? De lo contrario, ¿hay otros pasos que deben tomarse para proteger la computadora contra el malware en el firmware u otras ubicaciones de difícil acceso?

    
pregunta MM1926 30.03.2016 - 05:38
fuente

3 respuestas

6

Sí, y ha habido casos en que se almacenó en diferentes áreas de la computadora, se puede encontrar un ejemplo clásico en la siguiente URL:

enlace

Este artículo explica un poco más sobre cómo funciona

enlace

Otra área interesante es tener malware almacenado en tarjetas de video, aunque esto puede no ser persistente en el futuro, este tipo de ataque puede ser muy interesante.

enlace

    
respondido por el Trey Blalock 30.03.2016 - 07:40
fuente
4

En general y en este momento (2016), limpiar y reinstalar es generalmente suficiente para un usuario normal. Pero note los calificativos; Los autores de malware a menudo son bastante inteligentes y se adaptan rápidamente a las nuevas ideas.

El problema que subyace a la pregunta es, donde puede existir un código que se ejecuta automáticamente en una computadora. La respuesta actual a eso es, en cualquier dispositivo o componente que tenga firmware (o que tenga circuitos que faciliten el firmware o código secreto), y desafortunadamente eso es casi todos. La mayoría de los virus se almacenan en espacios de disco normales que los programas antivirus comprueban habitualmente. Pero más allá de esto hay un reino de otras ubicaciones, a menudo completamente ineludible en este momento. Se sabe que algunos han sido explotados pero solo por estados nacionales (NSA, etc.) y otros han sido demostrados por investigadores de seguridad (uno de ellos es el mal uso). Lo bueno es que en la actualidad no son vectores comunes de malware para usuarios comunes.

Dicho esto, aquí hay algunos ejemplos de vectores de malware y capacidades de indagación / registro que no se solucionarán al reinstalarlos o borrarlos, para darte pesadillas .......

  • Bios de la computadora (o uefi) - el firmware principal de la computadora

  • En el firmware del disco duro (y en las secciones ocultas del HD a las que puede acceder), lo que no se puede ver no se puede borrar y el firmware de HD tiene control total sobre qué datos se envían a la computadora cuando se solicita una lectura de disco y si se modifican o no los datos reales. Estos ya han sido utilizados por la NSA, etc. ya.

  • En los dispositivos de entrada o dispositivos utilizados para conectar dispositivos de entrada: llaves de teclado, llaves de ratón, registradores de teclado de hardware, dispositivos USB y Bluetooth que se presentan silenciosamente como un ratón / teclado falso para ejecutar comandos, dispositivos de pantalla táctil que registran o simulan entrada por el usuario, ...

  • Tarjetas y otros dispositivos conectables (gráficos, red, WiFi, lo que quieras) que presentan interfaces a nivel de hardware o software o tienen acceso directo a ram, en su firmware.

  • Potencialmente, la propia CPU, en su microcódigo.

  • Dispositivos de salida (un dongle o un núcleo de ferrita falso en un cable de monitor que puede registrar la señal rgb y decodificar o transmitir la pantalla a otra parte).

  • Conexiones de red ocultas: dispositivos que contienen una capacidad de red secreta que no es un virus pero se pueden usar para obtener acceso secreto ....

  • Accesorios malintencionados: los cargadores de manzana falsos al mismo tiempo contenían una capacidad malwaring.

  • en el propio sistema operativo (medios de instalación falsos o falsos, código encubierto en el código fuente o agregado en forma no autorizada por un usuario interno, tercero o distribuidor, desconocido para los autores).

  • En el código de confianza, puede volver a descargar o reinstalar casi "como estándar" después de limpiar el disco (piense en los medios sin conexión de Microsoft Office o MySQL, o en los instaladores de descarga web) ...

  • En bibliotecas estándar y software confiable "oculto a simple vista". Busque en Google las competiciones para las competiciones de criptografía C secreta y clandestina en las que el código aparentemente limpio debe lograr secretamente un resultado malicioso.

Sí, da miedo, y nadie tiene realmente claro qué hacer para protegerse contra él, excepto para confiar en que es raro y específico. Que, hasta ahora, es.

    
respondido por el Stilez 30.03.2016 - 10:26
fuente
0

La respuesta es sí y no.

Si bien la mayoría de los fabricantes no suministrarán un disco de recuperación que contenga malware, recientemente hubo noticias sobre el malware de envío del fabricante pre-instalado y es probable que el disco de recuperación contenga el mismo malware.

Además, hay virus de sector de arranque que pueden soportar la reinstalación del sistema operativo.

Lo último que me gustaría agregar, no inserte memorias USB después de una nueva instalación, a menos que esté seguro de que estén seguros y limpios.

Para asegurarse de que no tiene ningún malware, descargue el SO del desarrollador original, por ejemplo, Microsoft. Y use algunas herramientas de arranque en vivo para verificar el sector de arranque después de limpiar y limpiar su unidad de disco duro.

    
respondido por el JonDoe 30.03.2016 - 08:34
fuente

Lea otras preguntas en las etiquetas

¿Por qué debería borrar su mesa de trabajo al salir de la aplicación? ¿Puede alguien robar el contenido de las cookies a través de un ataque de phishing?