web-dev-qa-db-fra.com

Double démarrage de Windows et Ubuntu, puis-je obtenir des virus / programmes malveillants Windows lors de l'exécution d'Ubuntu?

Aujourd'hui, j'ai Windows et Ubuntu installés sur mon SSD.

Que se passe-t-il si, pour une raison quelconque, j'obtiens un logiciel malveillant/virus (ciblé pour Windows), téléchargeant peut-être quelque chose que je ne devrais pas, pendant que j'utilise Ubuntu?

Le malware/virus trouvera-t-il un moyen de passer de la partition Ubuntu à la partition Windows et finira-t-il par faire quelque chose avec mes fichiers Windows? Supposons que j'ai téléchargé des logiciels malveillants (ciblés pour Windows) sur ma partition Ubuntu, que se passera-t-il probablement?

18
Olba12

Si vous aviez deux virus en jeu, un qui infectait Linux avec une charge utile pour infecter Windows, cela pourrait théoriquement se produire. Cependant, un virus Windows natif ne peut pas du tout s'exécuter sous Linux. La raison pour laquelle rien ne se passerait a à voir avec quelque chose connu comme "Application Binary Interface", ou "ABI" pour faire court.

Sous Windows, la plupart des appels système sont effectués via quelque chose appelé "INT 20h", tandis que sous Linux, les appels système sont effectués via "INT 80h". Cela signifie qu'un virus basé sur Windows qui essaie d'appeler le système pendant 20h se terminerait simplement sans causer de dommage, car INT 20h est une commande "programme de terminaison compatible DOS".

En réalité, la plupart des auteurs de virus vont emprunter le chemin de la moindre résistance: écrire un virus Linux pour infecter le système Linux en cours d'exécution et écrire un virus Windows pour infecter le système Windows en cours d'exécution. Il faudrait beaucoup d'efforts supplémentaires pour écrire un virus dont le seul but était d'infecter un système d'exploitation hors ligne.

Pour autant que je sache, il serait beaucoup plus facile d'écrire simplement un virus hyperviseur qui s'exécute "sous" le système d'exploitation, car alors l'ABI n'aurait aucun sens, car ils auraient un accès direct au matériel et à la mémoire.

D'un autre côté, si vous téléchargez un virus intentionnellement, par exemple, vous essayez d'obtenir une copie d'un jeu à partir d'une ressource douteuse, et vous l'avez fait sous Linux, mais vous avez téléchargé le fichier sur votre partition Windows, et vous avez ensuite exécuté le programme dans Windows, alors vous pourriez en effet être infecté à ce stade. Le point principal, cependant, est que Linux est imperméable aux virus Windows et Windows est imperméable aux virus Linux. Ils ne parlent tout simplement pas la même langue.

12
phyrfox

Dans de nombreuses configurations à double démarrage d'Ubuntu, il est possible d'exécuter du code en tant qu'utilisateur non privilégié qui a la capacité d'écrire sur la partition Windows. Parce que, si vous pouvez le faire avec le gestionnaire de fichiers sans qu'on vous demande un mot de passe système, un malware pourrait aussi monter la partition Windows avec le même type d'aide. Et si le malware installe un fichier dans le dossier Autostart de l'utilisateur Windows, il s'exécute au prochain démarrage de Windows. Ou il pourrait simplement lire les fichiers Windows et les envoyer à l'attaquant.

Si cette façon n'est pas possible, le malware pourrait essayer d'utiliser un bogue d'élévation de privilèges pour obtenir des autorisations root ou même du noyau. De là, il pourrait monter et écrire sur la partition Windows ou même configurer un malware BIOS/UEFI.

Et parfois, même une élévation de privilèges n'est pas nécessaire parce que vous effectuez une installation de logiciel apparemment innocente en tant que root, comme essayer d'installer un paquet python et faire une faute de frappe .

Bien sûr, le malware d'origine devrait être conçu avec cette configuration à double démarrage à l'esprit. Il est peu probable que vous rencontriez un malware s'exécutant dans Ubuntu (à l'exception des logiciels malveillants ciblant les serveurs Web), les chances sont encore plus faibles que cela soit conçu pour infecter la partition Windows dans une configuration à double démarrage. Mais c'est possible et probablement même pas difficile à implémenter . Et surtout si vous êtes une cible intéressante et que l'attaquant connaît votre configuration, il pourrait essayer ce chemin d'attaque.

Une façon de vous protéger contre cela est de crypter votre partition Windows afin qu'il soit impossible d'accéder aux fichiers en dehors du système d'exploitation Windows. Cela ne protège cependant pas contre les attaques au niveau BIOS/UEFI.

7
Steffen Ullrich

Oui, il est possible qu'un malware infecte la partition Windows pendant que vous utilisez Linux - source: cela m'est arrivé.

C'était il y a de nombreuses années lorsque je commençais avec Linux. Le système dualboot fonctionnait actuellement sous Linux, et je voulais échanger des fichiers entre deux ordinateurs en utilisant Samba. Puisqu'il y avait des problèmes avec ça, j'ai supprimé toutes les protections et limitations de sécurité dans Samba un par un jusqu'à ce que ça marche finalement (ou peut-être que ça ne marchait même pas, je ne me souviens pas).

Lors du redémarrage dans Windows quelque temps plus tard, j'ai été accueilli par plusieurs alarmes par le pare-feu personnel demandant si les programmes xyz et foo étaient autorisés à se connecter à Internet. Ceux-ci se sont avérés être des exécutables de logiciels malveillants situés dans c:\windows\system ou similaire.

Il s'avère que avec mon violon Samba sous Linux, j'avais en fait partagé l'intégralité du lecteur Windows C:\avec des autorisations d'écriture et sans aucune limitation d'authentification ou d'adresse; et apparemment, je n'avais pas de pare-feu activé sous Linux (ou peut-être que je l'avais également désactivé). Comme c'était à l'époque où le routeur SOHO était courant, l'ordinateur était directement connecté à Internet via un modem DSL. Ainsi, certains logiciels malveillants avaient trouvé mon partage Samba accessible en écriture (probablement par une analyse par force brute des plages IP), s'étaient copiés dans le répertoire système de Windows et avaient également ajouté les entrées nécessaires aux fichiers de démarrage automatique qu'il y avait trouvés. Naturellement, l'infection était restée inactive pendant que Linux fonctionnait, mais est devenue active la prochaine fois que j'ai démarré Windows.

Ainsi accordé, ce fut un tas énorme de f *** ups de ma part; mais cela montre que si vous êtes suffisamment négligent sous Linux, vous pourriez même infecter votre système Windows.

5
oliver

Si la partition Windows est montée, tout utilisateur autorisé à écrire sur ce montage peut modifier n'importe quel fichier à sa guise, sans les restrictions ou autorisations normales qui seraient appliquées au démarrage de Windows. Cela pourrait permettre à un utilisateur malveillant de remplacer les fichiers système critiques afin d'infecter Windows.

Cela étant dit, je ne pense pas qu'il existe un malware connu qui fasse cela. Il devrait être spécifiquement ciblé pour ce scénario et nécessiterait le montage de la partition Windows avec certaines autorisations.

3
multithr3at3d

Les autres réponses expliquent assez bien pourquoi les logiciels malveillants Windows ne s'exécutent pas sur Ubuntu. Cependant, il existe certains langages comme Java, et la plupart des langages interprétés qui sont multiplateformes comme PHP, Python, Ruby, etc., et les logiciels malveillants écrits dans l'un de ces langages s'exécuteront très bien sur Windows, Mac, Linux et même BSD.

En supposant que le code malveillant puisse s'exécuter avec succès sous Ubuntu, il peut alors faire ce qu'il veut, principalement obtenir root (en utilisant un exploit du noyau par exemple), puis écrire sur la partition Windows pour s'y copier également.

1
André Borie