web-dev-qa-db-ja.com

ハードドライブをワイプしてメーカーのディスクからOSを再インストールした後もマルウェアは存続しますか?

この質問は、所有者以外のユーザーが一度に数時間アクセスしたコンピューターに関連しています。コンピューターをクリーニングするために、次の手順が実行されました。

  1. パーティションアシスタントを使用して、メインパーティションとリカバリパーティションの両方を消去しました。

  2. 製造元から購入したリカバリディスクを使用して、Windowsのクリーンインストールを開始しました。

次の手順を実行すると、侵入先のコンピュータからすべてのマルウェアが削除されますか?そうでない場合、ファームウェアやその他のアクセスが困難な場所にあるマルウェアからコンピュータを保護するために実行する必要がある追加の手順はありますか?

windowsmalwarevirus-removaltrojan
7
MM1926

はい、これがコンピュータのさまざまな領域に保存されているケースがあり、1つの古典的な例が次のURLにあります。

http://www.pcworld.com/article/2948092/security/hacking-teams-malware-uses-uefi-rootkit-to-survive-os-reinstalls.html

この記事では、これがどのように機能するかについてもう少し詳しく説明します

http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/

もう1つの興味深い領域は、マルウェアがビデオカードに保存されていることですが、これは今後も持続しない可能性があります。この種の攻撃は非常に興味深いものになる可能性があります。

http://arstechnica.com/security/2015/05/gpu-based-rootkit-and-keylogger-offer-superior-stealth-and-computing-power/

6
Trey Blalock

一般的におよび現時点では(2016)、ワイプおよび再インストールは通常は一般ユーザーには十分です。しかし、修飾子に注意してください。マルウェアの作成者は、多くの場合非常に賢く、新しいアイデアにすぐに適応します。

問題の根底にある問題は、自動的に実行されるコードがコンピューターのどこに存在するかです。これに対する現在の答えは、ファームウェアを備えた(または秘密のファームウェアまたはコードを容易にする回路を備えた)デバイスまたはコンポーネントにあります-残念ながら、それはほとんどすべてです。ほとんどのウイルスは、ウイルス対策プログラムが定期的にチェックする通常のディスクスペースに保存されます。しかし、これを超えると他の場所の領域になり、現時点では完全にチェックできないことがよくあります。一部は悪用されたことが知られていますが、国家(NSAなど)によってのみ悪用され、その他はセキュリティ研究者によって悪用されています(bad-usbはその1つです)。良いことは現在これらは一般ユーザー向けのマルウェアの一般的なベクトルではないということです。

そうは言っても、悪夢を与えるために再インストールまたはワイプしても修正されないマルウェアベクトルとスヌーピング/ロギング機能の例をいくつか示します。

  • コンピューターのBIOS(またはUEFI)-メインのコンピューターファームウェア

  • ハードドライブファームウェア(およびそれにアクセス可能なHDの非表示セクション)-表示されないものは消去できず、HDファームウェアは、ディスクの読み取りが要求されたときにコンピューターに送信されるデータを完全に制御します。実際のデータが変更されているかどうか。これは、すでにNSAなどで使用されています。

  • 入力デバイスまたは入力デバイスの接続に使用されるデバイス-キーボードドングル、マウスドングル、ハードウェアキーロガー、コマンドを実行するために偽のマウス/キーボードとして静かに表示されるUSBおよびBluetoothデバイス、ユーザーによるログまたは偽の入力を行うタッチスクリーンデバイス。 ..

  • ハードウェアまたはソフトウェアレベルでインターフェイスを提供するか、ファームウェアでRAMに直接アクセスできるカードおよびその他のプラグイン可能なデバイス(グラフィックス、ネットワーク、WiFi、あなたが名前を付ける)。

  • マイクロコード内の潜在的にCPU自体。

  • 出力デバイス(rgb信号をログに記録し、画面を別の場所でデコードまたは転送できるモニターケーブル上のドングルまたは偽のフェライトコア)。

  • 非表示のネットワーク接続-ウイルスではないが秘密のアクセスを取得するために使用できる秘密のネットワーク機能を含むデバイス。

  • 悪意のあるアクセサリ-偽物Apple一度に充電器に悪質な機能が含まれていました。

  • oS自体(不良または偽のインストールメディア、ソースコード内の隠しコード、またはインサイダー、サードパーティ、またはディストリビューターによって許可されていない方法で追加された、作成者には不明)。

  • 信頼できるコードでは、ディスクをワイプした後、ほぼ「標準どおり」に再ダウンロードまたは再インストールします(Microsoft OfficeまたはMySQLオフラインメディア、またはWebダウンロードインストーラーを考えてください)...

  • 標準ライブラリと信頼されたソフトウェアでは「プレーンビューに隠されています」。明らかにクリーンなコードが悪意のある結果を秘密裏に達成する必要があるアンダーハンドCおよびアンダーハンドクリプトコンペティションの競争。

はい、それは恐ろしいです。そして、そのまれで標的にされたと信頼することを除いて、それに対して保護するために何をすべきか本当に明確な人はいません。これまでのところ、そうです。

4
Stilez

答えはイエスとノーです。

ほとんどのメーカーはマルウェアを含むリカバリディスクを提供していませんが、最近、メーカーが出荷するマルウェアがプレインストールされており、リカバリディスクに同じマルウェアが含まれている可能性があるというニュースがありました。

また、OSの再インストールに耐えることができるブートセクターウイルスもあります。

最後に追加したいのは、USBメモリスティックが安全でクリーンであることが確実でない限り、新規インストール後にUSBメモリスティックを挿入しないことです。

マルウェアが存在しないことを確認するには、Microsoftなどの元の開発者からOSをダウンロードします。また、ライブブートツールを使用して、ハードディスクドライブを拭いてからブートセクターを確認します。

0
JonDoe