web-dev-qa-db-ja.com

コンピュータウイルスはハードドライブ以外の場所に保存できますか?

ハードドライブ以外の場所に自分自身を隠すことに成功したウイルスはありますか? CPUキャッシュまたはマザーボードのように?

可能ですか?ウイルスに感染したとしましょう。HDDを取り除き、新しいHDDを取り付けます。ウイルスがまだ私のPCに残っているのでしょうか?

136
ivan_bilan

たくさんの場所:

最新のハードウェアには、通常ファームウェアに使用されるさまざまな永続データストアがあります。 GPUやネットワークカードなどの複雑なデバイスを出荷し、ファームウェアを更新できない マスクROM に配置するのは非常に高額であり、障害が発生すると大量のリコールが発生します。そのため、2つのものが必要です。そのファームウェアの書き込み可能な場所と、新しいファームウェアを配置する方法です。つまり、オペレーティングシステムソフトウェアは、ハードウェア(通常はEEPROM)のファームウェアが格納されている場所に書き込むことができる必要があります。

この良い例は、最新のBIOS/UEFI更新ユーティリティの状態です。 UEFIイメージと、OS(Windowsなど)で実行されている実行可能ファイルを取得し、ボタンをクリックして、UEFIを更新できます。シンプル!これらの動作をリバースエンジニアリングする場合(これは数回実行しました)は、ほとんどの場合、カーネルモードドライバーが読み込まれ、特定のUEFIイメージからページデータを取得し、 を使用してUEFIチップと直接通信します。 out 命令。フラッシュのロックを解除して更新プロセスを開始するための正しいコマンドを送信します。

もちろん、いくつかの保護があります。ほとんどのBIOS/UEFIイメージは、ベンダーの署名がない限り読み込まれません。もちろん、十分に高度な攻撃者はベンダーから署名キーを盗むだけかもしれませんが、それは陰謀論や神のような脅威のアクターになり、ほとんどすべてのシナリオで戦うのは現実的ではありません。 IMEのような管理エンジンは、ring0コードによってもメモリセクションへのアクセスを妨げる特定の保護機能を備えていますが、調査によると、多くの誤りがあり、多くの弱点があります。

だから、すべてがねじ込まれていますよね?まあ、はい、いいえ。ルートキットをハードウェアに配置することは可能ですが、それも非常に困難です。個々のコンピューターには、ハードウェアとファームウェアのバージョンにばらつきがあるため、ほとんどの場合、汎用のルートキットを構築することは不可能です。汎用のAsus BIOSを取得して任意のボードにフラッシュすることはできません。あなたはそれを殺します。ボードタイプごとにルートキットを作成する必要があります。正しいリビジョン範囲まで作成することもあります。また、強力なセキュリティと暗号化の知識に加えて、最新のコンピューティングプラットフォームのハードウェアと低レベルの運用面に至るまで、膨大なクロスドメインの知識が関与するセキュリティの領域でもあるため、多くの人が対応することはできません。

標的にされそうですか?番号。

BIOS/UEFI/SMM/GPU/NIC常駐ルートキットに感染する可能性はありますか?番号。

関連する複雑さと差異は、平均的なユーザーが現実的にそれを心配する必要があるには大きすぎます。経済的な観点から見ても、これらのものを構築するには膨大なスキルと労力、そしてお金がかかるため、コンシューマー向けマルウェアでそれらを焼くことはばかげています。これらの種類の脅威は非常に標的にされているため、本当に国家国家の脅威モデルにのみ属しています。

201
Polynomial

あなたの質問への短い答えはイエスです。

ウイルスが潜む可能性のある場所をいくつか示します。

  • キーボード、マウス、Webカメラ、スピーカーなどの ファームウェア 上。基本的に、書き込み可能なファームウェアを備えた、コンピューターに接続するすべてのもの。
  • ハードドライブファームウェア 。ハードドライブ上での並べ替えですが、まだ再フォーマット後も存続します。 NSAがその疑いがある可能性があります。
  • BIOSまたはUEFI で。
  • 昔、フロッピーディスクのブートセクタ。当時はフロッピーディスクがプライマリストレージとしてよく使用されていたため、これは初期のウイルスでは標準でした。 USBスティックについても同様です。

ウイルスは、実行可能コードとして扱われる書き込み可能なデータがある場所を標的にする可能性があります。コンピュータでは、それは基本的にどこにでもあります。ただし、再起動後も存続するには、ある種の永続的なストレージである必要があります。したがって、CPUキャッシュは非表示にするのに最適な場所ではない可能性があります。

ただし、ほとんどのウイルスはこれを行わず、HDDにのみ存在します。これは、ウイルス作成者が(合理的に)怠惰だからです。ぶら下がっている果物がたくさんあるのに、なぜ複雑なオプションを選ぶのですか?

42
Anders

最も一般的ながチェックされていない場所の1つは...多くの3G/4G USBスティックのような「埋め込みドライバーディスク」を備えた周辺機器です。彼らは(技術的には)内部にハブを持ち、Generic Storage +デバイス自体を持っています。ファームウェアをアップグレードすると、通常、汎用ストレージパーツにマウントされたディスクイメージがアップグレードされます。通常の使用ではPCから読み取り専用ですが、autoplayを使用してCD-ROMとして簡単に再マップできます。 2006年から2008年に経験したのは、地元の携帯電話会社向けの4Gスティックです。これには、ローカルセールスポイントからすぐに使用できるストレージのようなCD-ROMが含まれ、自動再生とtorjanが含まれていました=)次のファームウェアパッチ—ストレージはHDDに再マップされ、ボード上のウイルスはありません。

13
Alexey Vesnin

あらゆる種類のストレージの主な問題は、システムがマルウェアを実行する意思があることです。これは、オペレーティングシステムの起動時に、ハードディスク上の実行可能ファイル、DLL、ドライバなどのどこかに存在する必要があることを意味します。完全にそこにある必要はありません。つまり、小さな読み込み可能なものであり、残りは他の場所(ネットワーク内でも)にある可能性があります。

ただし、OSが実行される前にマルウェアをロードすることもできます。 OSのロードはBIOSまたはUEFIによって制御されるため、マルウェアがすでにこの段階に含まれている場合、OSの制御外にあります。一例として、 ハッキングチームのマルウェアはUEFIルートキットを使用して、オペレーティングシステムの再インストール後も存続する を参照してください。

それとは別に、ネットワークカード、グラフィックカード、ハードディスクなどにファームウェアがあり、これらはしばしば交換できます。したがって、一部のマルウェアはそこにも隠れてシステムの動作を変更する可能性があります。 NSAのファームウェアハッキングの仕組みとそれが不安定になる理由 を参照してください。

11
Steffen Ullrich

与えられた例の範囲を超える質問を読んだとき、いくつかのことが頭に浮かびました。ウイルスは、ハードドライブやコンピュータ以外にも保存できる場所があります。それらの場所のいくつかはbacteria(特に大腸菌)とあなたの[〜#〜] dna [ 〜#〜]

2010年に行われたいくつかの調査によると、大腸菌はデータ(またはウイルス)を格納できるだけでなく、生体暗号化も提供できることを証明しています。

最近、科学者たちは、1グラムのDNAに最大700 TBのデータを保存できることを発見しました。利点は、適切に保管すれば長期保管にできることです。

したがって、テクノロジー業界がテクノロジーと生物学の統合に近づくにつれ、ハードドライブ、BIOS、メモリ、GPUなどだけではなく、もっと詳しく調査する必要があるかもしれません。

6
Josh

優れた多項式の答えに加えて、さらにいくつかのオプションがあります。

  • 明らかにネットワーク上の別のデバイス(例:samba共有に感染している別のコンピューター、Webページにエクスプロイトを追加しているルーターなど)
  • USBデバイス(フラッシュディスクなど)を密かにキーボードに変更し、マルウェアをホストコンピュータに入力/ダウンロードする
5
Edheldil

コンピュータの他の部分がウイルスによって使用されたかどうかはわかりませんが、長い間戻ってきました [〜#〜] badbios [〜#〜]

bad bios は何をしますか?

Radio (SDR) program code, even with all wireless hardware removed.


It is said to infect the firmware on USB sticks.

It is said to use TTF (font) files, apparently in large numbers, as a vector when spreading.

上記以外に、マシンを攻撃するウイルスだけでなく、 PCIルートキット のような多くの種類のルートキットが利用可能でした。

要約すると、ウイルスはBIOSまたは任意のソースに存在する可能性がありますが、ハードウェアには欠けている実行ポイントが必要です。

質問後に編集:

質問に従って、はい、あなたの新しいhddに感染する可能性のあるウイルスの可能性がありました。たとえば、 jellyfish のようなルートキットを検討してください。ただし、このケースは通常のエンドユーザーにはまれです

答えは「はい」です。HDDだけでなく、PCに接続している他のストレージデバイスにも隠れてしまう可能性があります。

  • 初期の頃、私はMicrosoft WindowsのCD/DVDの「自動実行」オプションに多くの問題を抱えていました。ウイルスは"Autorun.inf"を書き込みメディアに自動的に作成し、影響を受けたROMをリーダーに挿入すると、実行して新しいPCに自動的に感染するために使用できました。

  • ウイルスを使用して、USBフラッシュドライブに自動的に感染し、非感染システムにフラッシュドライブが挿入された場合は、自分自身で感染を拡大します。

これらは、2つの主要な領域であり、主な焦点はそれでなければなりません。

HDDからウイルスを削除できた場合は、次の場所でWindowsレジストリを確認することを忘れないでください(以下の場所から不明なエントリを削除して、実行中の多くのウイルスファイルを無効にしたと思います)。

"regedit"を実行してWindowsレジストリエディターを開き、以下の2つの場所で疑わしいレジストリエントリを確認します。

HKEY_CURRENT_USER:ソフトウェア:Microsoft:Windows:CurrentVersion:Run

HKEY_LOCAL_MACHINE:ソフトウェア:Microsoft:Windows:CurrentVersion:Run

2
Kiran

ハーバードアーキテクチャベースのデザインとして機能するカスタムCPUを使用している場合、ウイルスはROM命令コードが格納されているが、変更するのは非常に難しいプロセスです) ROM value that way。それでも注射です

2
B. Koksal