Un virus informatique peut-il être stocké ailleurs que sur le disque dur?
Y a-t-il des virus qui ont réussi à se cacher ailleurs que sur le disque dur? Comme le cache du processeur ou sur la carte mère?
Est-ce même possible? Supposons que je reçois un virus, alors je me débarrasse du disque dur et j'en installe un nouveau. Le virus est-il toujours présent sur mon PC?
Beaucoup d'endroits:
- BIOS/UEFI - présentation BlackHat (PDF)
- Mode de gestion du système (SMM) ou Intel Management Engine (IME) - article Phrack .
- GPU - Proof of concept rootkit sur GitHub .
- Cartes réseau - présentation Recon 2011 (PDF)
- A Quest To The Core (PDF) - une bonne présentation couvrant tout, du BIOS au SMM en passant par le microcode.
Le matériel moderne dispose d'un large éventail de magasins de données persistantes, généralement utilisés pour le firmware. Il est beaucoup trop coûteux d'expédier un appareil complexe comme un GPU ou une carte réseau et de mettre le firmware sur un masque ROM où il ne peut pas être mis à jour, puis avoir un défaut provoquant des rappels de masse. En tant que tel, vous avez besoin de deux choses: un emplacement accessible en écriture pour ce firmware et un moyen de mettre le nouveau firmware en place. Cela signifie que le logiciel du système d'exploitation doit pouvoir écrire là où le micrologiciel est stocké dans le matériel (généralement des EEPROM).
Un bon exemple de cela est l'état des utilitaires de mise à jour BIOS/UEFI modernes. Vous pouvez prendre une image UEFI et un exécutable exécuté sur votre système d'exploitation (par exemple Windows), cliquer sur un bouton et vos mises à jour UEFI. Facile! Si vous inversez l'ingénierie de leur fonctionnement (ce que j'ai fait plusieurs fois), il s'agit principalement d'un pilote en mode noyau chargé qui prend les données de la page de l'image UEFI donnée et parle directement à la puce UEFI en utilisant out instruction, envoi des commandes correctes pour déverrouiller le flash et démarrer le processus de mise à jour.
Il y a bien sûr des protections. La plupart des images BIOS/UEFI ne se chargent que si elles sont signées par le fournisseur. Bien sûr, un attaquant suffisamment avancé pourrait simplement voler la clé de signature du vendeur, mais cela entre dans les théories du complot et les acteurs de menaces divines, qui ne sont tout simplement pas réalistes pour combattre dans presque tous les scénarios. Les moteurs de gestion comme IME sont censés avoir certaines protections qui empêchent l'accès à leurs sections de mémoire même par le code ring0, mais la recherche a montré qu'il y a beaucoup d'erreurs et beaucoup de faiblesses.
Donc, tout est foutu, non? Eh bien, oui et non. Il est possible de mettre des rootkits dans le matériel, mais c'est aussi incroyablement difficile. Chaque ordinateur individuel a une telle variation dans les versions matérielles et micrologicielles qu'il est impossible de créer un rootkit générique pour la plupart des choses. Vous ne pouvez pas simplement obtenir un BIOS Asus générique et le flasher sur n'importe quelle carte; tu vas le tuer. Vous devez créer un rootkit pour chaque type de carte distinct, parfois jusqu'à la plage de révision correcte. C'est également un domaine de sécurité qui implique une énorme quantité de connaissances inter-domaines, jusque dans le matériel et les aspects opérationnels de bas niveau des plates-formes informatiques modernes, ainsi que de solides connaissances en matière de sécurité et de cryptographie, donc peu de gens sont capables.
Êtes-vous susceptible d'être ciblé? Non.
Êtes-vous susceptible d'être infecté par un rootkit résident BIOS/UEFI/SMM/GPU/NIC? Non.
Les complexités et les variations impliquées sont tout simplement trop grandes pour que l'utilisateur moyen ait jamais à s'en soucier de manière réaliste. Même d'un point de vue économique, ces choses prennent énormément de compétences, d'efforts et d'argent à construire, donc les graver sur des logiciels malveillants grand public est idiot. Ces types de menaces sont tellement ciblées qu'elles n'appartiennent vraiment qu'au modèle de menace de l'État-nation.
La réponse courte à votre question est oui.
Voici quelques endroits où un virus pourrait se cacher:
- Sur le firmware de votre clavier, souris, webcam, haut-parleurs, etc. Fondamentalement, tout ce que vous connectez à votre ordinateur a un firmware inscriptible.
- Sur votre firmware du disque dur . En quelque sorte sur votre disque dur, mais survit toujours à un reformatage. Les NSA sont probablement des suspects pour celui-là.
- Dans votre BIOS ou UEFI .
- Autrefois, démarrez des secteurs de disquettes. C'était la norme parmi les premiers virus, car à l'époque les disquettes étaient souvent utilisées comme stockage principal. Il en va de même pour les clés USB maintenant.
Un virus pourrait potentiellement cibler tout ce qui contient des données inscriptibles traitées comme du code exécutable. Sur un ordinateur, c'est pratiquement n'importe où. Pour qu'il survive à un redémarrage, cependant, il faudrait que ce soit une sorte de stockage persistant. Le cache du processeur n'est donc peut-être pas le meilleur endroit pour se cacher.
La plupart des virus ne le font pas et vivent simplement sur le disque dur. En effet, les auteurs de virus sont (rationnellement) paresseux. Pourquoi opter pour les options compliquées quand il y a beaucoup de fruits bas?
L'un des endroits les plus courants mais non contrôlés est ... un périphérique avec "disque de pilote intégré", comme beaucoup de clés USB 3G/4G. Ils ont - techniquement - un concentrateur à l'intérieur et un stockage générique + l'appareil lui-même. La mise à niveau de son micrologiciel met généralement à niveau une image disque montée sur la partie de stockage générique. Il est en lecture seule à partir du PC en utilisation régulière, mais il est facilement remappé sous forme de CD-ROM avec lecture automatique. Celui que j'ai moi-même expérimenté en 2006-2008 était une clé 4G pour un fournisseur de cellules local. Il contenait un CD-ROM comme le stockage prêt à l'emploi du point de vente local, la lecture automatique et torjan inclus =) Prochain patch du firmware - et un stockage est remappé sur le disque dur et aucun virus à bord.
Le principal problème pour tout type de stockage est que le système doit être prêt à exécuter le malware. Pendant le démarrage du système d'exploitation, cela signifie qu'il doit être quelque part en tant qu'exécutable, DLL, pilote ou similaire sur le disque dur. Il n'a pas besoin d'être complètement là, c'est-à-dire qu'il peut s'agir d'un petit élément chargeable et que le reste peut résider ailleurs (même dans le réseau).
Mais les logiciels malveillants peuvent également être chargés avant l'exécution du système d'exploitation. Le chargement de l'OS est contrôlé par le BIOS ou l'UEFI, donc si le malware est déjà contenu à cette étape, il échappe au contrôle de l'OS. Pour un exemple, voir Le malware de Hacking Team utilise un rootkit UEFI pour survivre aux réinstallations du système d'exploitation .
En dehors de cela, vous avez un firmware sur la carte réseau, la carte graphique, le disque dur, etc. et ceux-ci peuvent souvent être remplacés. Ainsi, certains logiciels malveillants peuvent également s'y cacher et modifier le comportement du système, voir Comment fonctionne le piratage du micrologiciel de la NSA et pourquoi c'est si dérangeant .
Quelques choses me sont venues à l'esprit lorsque j'ai lu la question qui dépassent le cadre de l'exemple donné. Il existe d'autres endroits où un virus peut être stocké en plus sur un disque dur ou même sur un ordinateur. Quelques-uns de ces endroits seraient les bactéries (spécifiquement E. coli) et votre [~ # ~] ADN [ ~ # ~] .
Selon certaines recherches effectuées cerca 2010 qui ont prouvé qu'E. Coli pouvait non seulement stocker des données (ou un virus) mais également offrir un bio-chiffrement.
Plus récemment, les scientifiques ont découvert qu'ils pouvaient stocker jusqu'à 700 To de données dans 1 gramme d'ADN. L'avantage serait qu'il s'agit d'un stockage à long terme s'il est correctement stocké.
Ainsi, à mesure que l'industrie technologique se rapproche de l'intégration de la technologie et de notre biologie, elle devra peut-être regarder plus loin que notre disque dur, notre BIOS, notre mémoire, notre GPU, etc.
En plus d'une excellente réponse de Polynomial, il existe d'autres options:
- un autre appareil sur le réseau, évidemment (par exemple un autre ordinateur infectant les partages de samba, un routeur ajoutant un exploit à sa page Web, ...)
- Périphérique USB (par exemple un disque flash) passant secrètement à un clavier et tapant/téléchargeant le logiciel malveillant sur l'ordinateur hôte
Je ne sais pas si une autre partie de l'ordinateur a été utilisée par un virus, mais il y a longtemps BADBIOS
Que fait mauvais bios ?
Radio (SDR) program code, even with all wireless hardware removed.
It is said to infect the firmware on USB sticks.
It is said to use TTF (font) files, apparently in large numbers, as a vector when spreading.
Hormis ce qui précède, ce n'est pas seulement un virus qui attaque une machine, il y avait de nombreux types de rootkits disponibles comme rootkit PCI
En résumé, le virus peut résider au bios ou à n'importe quelle source, mais il nécessite un certain point d'exécution qui manque au niveau matériel.
Modifier après la question:
Selon la question, oui, il y avait des chances que des virus puissent se transférer vers votre nouveau disque dur, par exemple, envisagez des rootkits comme méduses , mais notamment ces cas étaient rares pour les utilisateurs finaux normaux
La réponse est OUI, ils peuvent se cacher dans de nombreux autres endroits, non seulement dans votre disque dur, mais également dans d'autres périphériques de stockage que vous avez connectés à votre PC.
Au début, j'ai l'habitude d'avoir beaucoup de problèmes avec l'option "Autorun" du CD/DVD dans mon Microsoft Windows. Les virus étaient si capables de créer automatiquement "" Autorun.inf " dans un support de gravure et de l'utiliser pour s'exécuter et infecter automatiquement dans un nouveau PC lorsque j'insère le ROM ROM dans le lecteur).
Virus utilisé pour infecter automatiquement la clé USB et se propager par lui-même si la clé USB est insérée dans un système non infecté.
Ce sont deux domaines majeurs, où votre objectif principal doit être.
Si vous avez réussi à supprimer le virus de votre disque dur, n'oubliez pas de vérifier le registre Windows à ces emplacements: (croyez-moi, j'ai désactivé de nombreux fichiers de virus en cours d'exécution, en supprimant les entrées inconnues des emplacements ci-dessous);
Exécutez "regedit" pour ouvrir l'Éditeur du Registre Windows et naviguez pour vérifier ci-dessous deux emplacements pour les entrées de registre suspectes !!
HKEY_CURRENT_USER: Logiciel: Microsoft: Windows: CurrentVersion: Run
HKEY_LOCAL_MACHINE: SOFTWARE: Microsoft: Windows: CurrentVersion: Run
Dans le cas où vous utilisez un processeur personnalisé fonctionnant comme une conception basée sur une architecture Harvard, un virus peut injecter le ROM dans lequel les codes d'instructions sont stockés mais c'est un processus très très difficile de changer a = ROM valeur de cette façon. C'est quand même une injection