Linuxを使用してWindowsフラッシュドライブマルウェアと戦う?
Windowsマシンで使用していた古いフラッシュドライブをLinuxに挿入しました。私は多くのファイルに気づきました、ほとんどの場合exeはウィンドウに表示されませんでした(私のウィンドウは非表示のファイルと拡張子を隠していません)。それらの奇妙なファイルのほとんどには、名前のようなマルウェアがありました。 Linuxで削除できるように、これらのファイルのプロパティを変更しました。動作しましたが、ドライブは完全に汚れていないようです。
フラッシュドライブ内のWindowsマルウェアがWindowsから身を隠すことができる場合、Linuxからも身を隠すことができますか?そうでない場合は、フラッシュドライブ上のWindowsマルウェアのクリーニングが簡単になります。
はい、WindowsとLinuxのファイルエクスプローラーからファイルを非表示にする方法があります。つまり、ファイル名をドット.で始め、hフラグとsフラグを設定します。コマンドラインを使用して実行できるWindowsの場合
ren file .file
attrib +h +s .file
現在、クリーンマシンのデフォルト設定では、ファイルは File Explorer 、 Nautilus 、または Konqueror で表示できません。
Linuxマシンにフラッシュディスクを接続し、Nautilusを使用してそれを開く場合は、 Ctrl+H すべての隠しファイルを表示します。より良い解決策は、お気に入りのシェルを使用して、フラッシュディスクのマウントされたディレクトリでこのコマンドを実行することです。
ls -a
注:Linuxを使用してフラッシュドライブを「クリーン」にしてから、疑わしいWindowsマシンに再度接続すると、再び感染したと見なすことができます。
更新:現実の世界と実用的の観点から、新たに表明された懸念に対処しようと思います。
まず、理論的には。そこでis Linuxマシンがマルウェアに感染して、特定のファイル(つまり、他のマルウェアファイル)を強制的に隠す可能性があります。しかし実際には、その可能性は非常にわずかです。しかし、セキュリティ上の何かと同様に、あなたは決して確信することができません。
実際には、感染したフラッシュディスクをLinuxマシンに接続し、すべての不良ファイルを削除すると(do知っているall不良ファイルが何であると仮定して)、高い確率でフラッシュディスクはクリーンです。感染したWindowsマシンにプラグを差し戻さない限り、他のクリーンなWindowsマシンの中で安全に使用できます(どのマシンがクリーンであるかを確信している場合)。
フラッシュドライブ上のマルウェアWindows実行可能ファイルは、ある時点でWindowsマシンで実行された場合にのみ意味があります。これには、少なくともオペレーティングシステムカーネルの観点から、ファイルが上記のWindowsに対して「可視」であることが必要です。 Windowsファイルエクスプローラーでファイルが表示されないということは、ファイルエクスプローラーが破壊されている(つまり、独自のマルウェアに感染している)か、深刻なバグがあり、ファイルを表示できないことを意味します。どちらの方法でも、.exeファイルがLinuxシステムからは見えるがWindowsシステムからは見えない場合、Windowsシステムが破損している可能性があります。フラッシュドライブをクレンジングするだけでは病気を治すのに十分ではありません...
LinuxとWindowsの両方に感染するマルウェアは非常にまれです。したがって、ある確率で、特定のフラッシュドライブがWindowsシステムとLinuxシステムの両方から「空」のように見える場合は、おそらく本当に空であると推測できます。これは、どちらかのマシン自体が「クリーン」であることを意味するものではありません。
フラッシュドライブを安全にクリーニングして、Windowsマシンにプラグインされたときにマルウェアが残らないようにする方法を知りたいようです。これを行うための1つの保証された方法は、多くのLinuxディストリビューション(Ubuntuを含む)でデフォルトで利用可能な「Gnome Partition Editor」を開くことです。
これにより、フラッシュドライブ上のすべてのデータが削除され、そこから保存したいものはすべてバックアップされます(ただし、マルウェアはバックアップしないでください)
このプログラムを開くと、コンピュータに関連付けられているさまざまなファイルシステムが表示されます。それらの間であなたのフラッシュドライブを見つけます。オプションの下で、フラッシュドライブの再フォーマットを選択する必要があります(新しいファイルシステムタイプにはFAT 32をお勧めします。ほとんどのフラッシュドライブのデフォルトです)。再フォーマットが完了すると、すべてのデータが失われ、準備が整います。
ここにガイドがあります: http://www.ehow.com/how_4929061_format-hard-drive-ubuntu.html 探しているドライブがハードドライブではなくフラッシュドライブであることに注意してください
そうでない場合は、自分でDBANのコピーを見つけて、フラッシュドライブを介してゼロを直接書き込みます。次に、上記のように再フォーマットして、再度使用できるようにします。これは時間がかかり、おそらく不要ですが、それでも心配な場合は、これでうまくいきます。
ガイド: http://jesgru37.hubpages.com/hub/How-to-Wipe-a-Hard-Drive-Step-by-Step-Guide もう一度、消去するドライブを確認してくださいあなたのフラッシュドライブです。何かが正しくないと思われる場合は、しないでください!ここで行った変更は元に戻せません。
危険な可能性のあるUSBドライブをWindowsシステムに接続することを恐れる必要はありませんif自動感染を防ぐために適切に設定します。
たとえば、gpedit.mscに移動します。
- Computer Configuration
\ - Administrative Templates
\ - Windows Components
\ - AutoPlay Policies
- Enable "Turn off AutoPlay" and select "All Drives"
これにより、ウイルスのあるUSBドライブが接続されている場合に、システムが自動的に感染するのを防ぐことができます。ペンドライブを開こうとするときは注意が必要です。「文字をダブルクリックして」willとにかくウイルスを開始するためです。代わりに、Windowsエクスプローラーのアドレスバー(たとえば、タイプ "E:\")を使用してドライブ文字を参照し、次に 既知のファイルタイプの拡張子を表示する および システムと隠しファイルの表示 が有効になっているため、このウイルスが設計された運用システムを使用している間でも、潜在的な脅威を識別して排除できると思います。
USBフラッシュドライブには、CPUとファームウェアが統合されたフラッシュメモリコントローラーICが含まれています。多くの場合、Windowsドライブアクセスに関連するアクセスパターンやx86システムの起動などの特定の条件が満たされたときに、マルウェアに感染したバージョンのファイルでクリーンファイルが切り替わるように、ファームウェアが変更される可能性があります。 USBの。フラッシュドライブを他のUSBデバイスに変更することも可能です。たとえば、USB CD-ROMドライブをフラッシュドライブと一緒に追加する(一部のフラッシュドライブのデフォルトファームウェアはこの機能をサポートしているため、有効にすることができます)、またはUSBキーボード。
言うまでもなく、一般的な方法でフラッシュドライブを完全に消去しても、そのようなマルウェアは削除されません。
これらは非常にまれで高度な攻撃であり、フラッシュコントローラーに固有の特別なツールが必要な場合を除いて、そのようなマルウェアを削除できない場合や、ハードウェアレベルの修復が必要な場合があります。