Как заразить жесткий диск вирусом
Меня недавно попросили помочь другу починить компьютер с вирусами, и мне было интересно, возможно ли заражение других компьютеров вирусами, что может представлять опасность, если я подключу этот жесткий диск к своему компьютеру, чтобы создать образ? Могут ли вирусы перепрыгивать жесткие диски, не будучи запущенными на компьютере оригинальной операционной системы? Будет ли удаление назначенной буквы диска для зараженного жесткого диска эффективной защитой? Должен ли я просто использовать Linux для создания образа диска, чтобы мне не пришлось беспокоиться о возможности заражения вирусом Windows моего собственного компьютера?
2 ответа 2
Безопасно подключить жесткий диск, зараженный вирусом, если вы не выполните следующие действия:
- Не загружайте операционную систему жесткого диска
- Не выполняйте никаких файлов, которые находятся на жестком диске.
- Если вы копируете файлы, обязательно проверяйте их на наличие вирусов, прежде чем открывать их. Даже если скопированные файлы содержат неактивный вирус, вы скопируете вирус, и он станет активным, если будет запущен его код.
По сути, если вы используете Linux, чтобы просто сделать образ жесткого диска в качестве резервной копии, чтобы вы могли вернуться к этому этапу, ничего страшного. Если вы используете его для копирования документов и т.д. С жесткого диска, чтобы его можно было вернуть после переустановки, сначала отсканируйте эти файлы.
Как и в случае любого вирусного заражения, если вы не уверены, что поток полностью исчез, перейдите в безопасное состояние, выполните полный формат и переустановите ОС после создания резервной копии важных файлов и проверки их на наличие вирусов.
4 место: интерфейс Thunderbolt
Четвертое место в чарте занимает тоже «портовая» уязвимость, только связанная с другим интерфейсом — Thunderbolt. Оказывается, подключение через него также весьма небезопасно. Соответствующий сценарий атаки для устройств под управлением Mac OS X продемонстрировал в конце прошлого года исследователь в области безопасности Тремелл Хадсон.
Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.
После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.
2 место: жесткие диски
Раз уж мы начали с оперативной памяти, было бы несправедливо обойти стороной и жесткие диски. Благодаря недавнему расследованию деятельности хакерской группы Equation, проведенному «Лабораторией Касперского», мы теперь знаем, что прошивка микроконтроллера винчестеров тоже может содержать в себе много интересного.
Например, зловредные модули, перехватывающие управление диском и работающие фактически в «режиме Бога». Вылечить жесткий диск после такого внедрения невозможно: «испорченная» взломщиками микропрограмма винчестера просто скрывает области диска, в которые записывается основная часть вредоносного ПО, и блокирует попытки заменить саму микропрограмму. И форматирование не поможет: все, что можно сделать, — это уничтожить зараженный диск физически.
Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.
Обратите внимание: вирус может быть в следующем:
Возможно, есть еще файлы, на которые можно повлиять, поэтому всегда сканируйте. Тебе лучше быть в безопасности, чем потом сожалеть.
Неважно, с какого устройства запускается вирус. Это может быть ваш диск, диск, взятый с другого компьютера, флешка, iPod, что угодно. Если вы запустите вирус, он, скорее всего, заразит компьютер, на котором вы его запускаете - в данном случае ваш компьютер.
Выполнение внешнего вируса автоматически довольно сложно в современных версиях Windows, но вирусы используют некоторые умные идеи, чтобы заставить вас запустить их. Более безопасным решением является использование некоторого дистрибутива Linux для этой задачи. Linux не может запускать исполняемые файлы Windows, поэтому он невосприимчив к вирусам Windows. Но будьте осторожны, чтобы случайно не загрузить Windows!
Идеальным решением было бы создать образ этого диска на своем оригинальном ПК, используя дистрибутив LiveCD Linux, например Ubuntu или PartedMagic. Вы можете использовать внешний диск в качестве цели резервного копирования.
Вредоносные программы, которые невозможно стереть с винчестера, все же существуют. Но они так редки и дороги, что вы вряд ли с ними столкнетесь.
17 февраля 2015
Исследование активности кибершпионской группировки Equation, опубликованное командой GReAT «Лаборатории Касперского», описывает несколько чудес техники. Эта давно действующая и очень мощная группа создала серию крайне сложных вредоносных «имплантов», но наиболее интересная находка экспертов — это умение зловреда перепрограммировать жесткие диски жертв шпионажа, благодаря чему «импланты» становятся невидимы и практически неуязвимы.
Это одна из давних страшилок компьютерной безопасности. Неизлечимый вирус, который навсегда остается в компьютерном оборудовании, считался городской легендой последние три десятилетия, но, похоже, кое-кто потратил миллионы долларов, чтобы сделать сказку былью. Некоторые газеты и сайты трактуют эту историю в довольно паническом тоне, заявляя, что хакеры могут «получать таким образом доступ к информации на большинстве компьютеров в мире«. Но нам бы хотелось снизить накал драматизма, поскольку эта возможность, скорее всего, останется такой же редкой, как панды, самостоятельно переходящие дорогу на ближайшем к вам перекрестке.
Давайте прежде всего разберемся, что такое «перепрограммирование прошивки винчестера». Жесткий диск состоит из нескольких компонентов, самыми важными из которых являются собственно носитель информации (магнитные диски для классических винчестеров HDD или чипы флеш-памяти для SSD) и микрочип, который управляет чтением и записью на диск, а также многочисленными сервисными процедурами, например обнаружением и исправлением ошибок.
Как раз этот механизм и научилась эксплуатировать группировка Equation, загружая свою собственную прошивку в жесткие диски 12 различных «категорий» (производителей/моделей). Функции модифицированной прошивки остаются загадкой, но вредоносное ПО на компьютере благодаря ей получает возможность читать и писать данные в специальный подраздел жесткого диска. Мы предполагаем, что этот подраздел становится полностью скрытым как от операционной системы, так и от специальных аналитических программ, работающих с диском на низком уровне. Данные в этой области могут пережить форматирование диска!
Более того, теоретически прошивка способна повторно заражать загрузочную область жесткого диска, делая даже свежеустановленную операционную систему инфицированной. Вопрос дополнительно усложняется тем, что за проверку состояния прошивки и обновление прошивки отвечает… сама прошивка, поэтому никакие программы на компьютере не могут надежно проверить целостность кода прошивки или обновить его с надежным результатом. Иными словами, однажды зараженная прошивка практически недетектируема и неуничтожима. Дешевле и проще выкинуть подозрительный жесткий диск и купить новый.
Впрочем, не бегите за отверткой — мы не ожидаем, что эта предельно мощная возможность инфицирования станет массовой. Даже сама группировка Equation использовала данную функцию всего несколько раз, модуль инфицирования дисков очень редко встречается на компьютерах жертв Equation.
Перепрограммировать жесткий диск гораздо сложнее, чем написать, скажем, программу для Windows. Каждая модель винчестера уникальна, и разработать для нее альтернативную прошивку — долго и дорого. Хакер должен получить внутреннюю документацию производителя (уже очень сложно), купить несколько винчестеров точно такой же модели, разработать и протестировать нужную функциональность, а также запихнуть ее в невеликое свободное место прошивки, сохранив при этом все исходные функции.
Это очень высокоуровневая и профессиональная работа, которая требует месяцев разработки и многомиллионных инвестиций. Поэтому данный тип технологий бессмысленно использовать в криминальных вредоносных программах и даже большинстве целевых атак. Кроме того, разработка прошивок — это «бутиковый» подход ко взломам, который трудно развернуть в широком масштабе. Производители дисков выпускают новые винчестеры и их прошивки чуть ли не каждый месяц, и взламывать каждую из них — трудно и бессмысленно даже группе Equation, не говоря уже обо всех остальных.
Практический вывод из истории прост. Вредоносные программы, заражающие винчестеры, больше не являются легендой, но среднестатистическому пользователю ничего не угрожает. Не крушите винчестер молотком, если только вы не трудитесь над иранской ядерной программой. Больше внимания стоит уделять не столь впечатляющим, но гораздо более вероятным рискам вроде взлома из-за плохого пароля или устаревшего антивируса.
Возможно ли заразить мой новый компьютер вирусами ,если подключить жесткий диск со старого ноута(на нем были вирусы) через USB SATA/IDE? Спасибо!
Простой 9 комментариев
AidanaEnver, в фотках также могут быть вредоносы
На диске могут быть авторан скрипты и/или другие уязвимости ОС, которые запустят вредонос без вашего ведома
AidanaEnver, имейте ввиду, что вирусы могут замаскировать вредоносные файлы под папки. Вы попытаетесь открыть такую папку, которая на самом деле ярлык на исполняемый файл, и привет.
Лучше воспользоваться файловым менеджером типа total commander для навигации по файловой системе и понимать где папки, где файлы, и что это за файлы.
sim3x, сейчас авторан скрипты работают? По-моему всё равно запрос выдается, что сделать с подключённым носителем.
Можно. Если не запускать ничего — то зависит от версии Windows и стоящих на ней апдейтов.
7+ вроде научилась не запускать ничего в DLL, чтобы подгрузить оттуда иконки, и не делать автозапуска ни для чего, кроме CD.
В общем, советую для таких винтов обновлённую 7+ и двухпанельный коммандер, а не Проводник. Мало ли какой эксплойт попадётся, чтобы заразить комп через Проводник, а под коммандеры пока такого не пишут — да и путей подобного заражения меньше.
UPD. И исполняемый файл сложнее принять за каталог на двухпанельном коммандере.
UPD2. После этого тем же коммандером перетряхните скопированные каталоги, чтобы убедиться, что там законные файлы, а не исполняемые. После чего можно пользоваться даже Проводником — вероятность заразиться мизерна. Если там «левые» документы (DOC, PDF и прочее, что часто эксплойтят) — советую прогнать скопированное на проге типа CureIt.
Мы привыкли делить IT-безопасность на две неравные половинки из железа и софта. Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами.
Долгое время такая система ценностей работала неплохо, но за последние годы начала давать все больше сбоев. Теперь уязвимости нередко находят уже и в микропрограммах, управляющих отдельными «железками». Что самое неприятное, традиционные средства обнаружения угроз в этом случае зачастую бессильны.
Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.
1 место: оперативная память
Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.
По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.
До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.
Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.
Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.
Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.
Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.
3 место: интерфейс USB
На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.
На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.
Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!
Скептики могут возразить, что в стандартном адаптере питания вредоносный код не запишешь, ибо некуда. Но это беда поправимая: при желании зарядку можно «творчески доработать» (аналогичная задача по инфицированию iPhone через зарядное устройство была решена уже больше двух лет назад).
Дальше остается только стратегически грамотно поместить такое «троянское питание» для публичного использования в каком-нибудь публичном месте. Или подменить зарядку жертвы, если речь идет об адресной атаке.
5 место: BIOS
Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.
С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.
Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.
Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.
oia: Услыхал одну историю, о том как одна фирма не заплатила другой, за поставку и настройку большого парка компьютеров. А те в свою очередь, якобы удаленно закинули им в сеть вирус, который стал выводить жесткие диски один за другим. Говорят что даже по новостям передавали и что вирус не удалось идентифицировать. Вот и хотел порассуждать, может ли подобный вирус существовать или все это байка.
гепотетически, если вирус изменяет прошивку HDD и не будет парковать головку HDD, то с небольшим шансом между остановкой и стартом блинов головка может поцарапать диск. Но это только теоретически.
Сергей: ну так тут еще проще - начинаем писать/стирать в бесконечном цикле. Сколько там у среднего диска циклов перезаписи? Для обычного Кингстона 240Гб TBW 128Тб. Это при непрерывной записи для него-же что-то около 260 часов. 11 дней - и абсолютно новый SSD умрет физически.
MaxDukov: Для обычного кингстона на 240 ресурс записи будет не менее 500тб.
Далее - производитель обычного кингстона может заявлять скорость записи до 500мб, но в реальности она явно меньше. Но это в режиме нормальной эксплуатации. А тут идет речь о том чтобы полностью записать, потом полностью стереть диск. Диск банально не будет успевать в фоновом режиме чистить ячейки, и скорость записи у этого кингстона будет не более 150мб.
А теперь считаем -
Запись -150мб/с - 13террабайт в сутки в лучшем случае. Чтобы записать более 500террабайт нужно потратить около сорока суток.
Это при условии что ничего другого делаться не будет. В реальности такой мощный поток записи обеспечит жуткие тормоза при работе с дисковой подсистемой, т.е диск будет постоянно занят на 100%.
Довольно странно что кто-то не заметит на сервере или рабочей машине таких тормозов за полтора месяца, и не прибъет заразу.
Артем: TBW для Кингстона я взял прямо с их сайта. Крайне сомневаюсь, что он занижен в 3 раза.
что до тормозов - что мешает уменьшить приоритет процесса-вируса? Тормозов не будет, диск просто не будет простаивать. Ну умрет не через 11 суток, а через 20 - от этого легче?
Читайте также: