it-swarm-eu.dev

Reicht eine Neuinstallation aus, um potenzielle Malware zu entfernen?

Reicht die Formatierung der Festplatte und die Neuinstallation des Systems von Grund auf (auf Ubuntu) aus, um potenzielle versteckte Software Spyware, Keylogger usw. zu entfernen?

Oder kann noch etwas im BIOS installiert sein oder so etwas? Was ist dann zu tun?

Um es klar auszudrücken, keine Sorge um gängige Malware. Die Frage bezieht sich spezifischer auf eine Maschine, auf die andere Personen als der Benutzer viele Stunden lang physischen Zugriff hatten. Wenn der Benutzer zurückkehrt, kann er nicht sicher sein, dass sich nichts geändert hat. Daher führt der Benutzer nach einigen Wochen eine Neuinstallation durch. Ist das genug, um es zu "reinigen"?

Hardware-Keylogger sind nicht Teil dieser Frage, da sie nach der Neuinstallation der Software fortgesetzt werden sollten.

43
Strapakowsky

Es ist möglich, dass Malware bei einer Neuformatierung und Neuinstallation bestehen bleibt, wenn sie ausreichend ausgeklügelt und ausgefeilt ist: z. B. kann sie im BIOS, in der Firmware für Peripheriegeräte (einige Hardwaregeräte) bestehen bleiben über Firmware verfügen, die aktualisiert werden kann und daher mit schädlicher Firmware aktualisiert werden kann) oder mit einem Virus, der Datendateien auf Wechseldatenträgern oder auf Ihren Backups infiziert.

Die meisten Malware-Programme machen jedoch nichts so Böses. Obwohl es keine Garantien gibt, sollten Sie durch Neuformatierung und Neuinstallation fast alle Malware entfernen, auf die Sie in der Natur wahrscheinlich stoßen.

Persönlich würde ich mich über eine Neuformatierung und Neuinstallation freuen. In der Praxis ist es wahrscheinlich gut genug.

40
D.W.

Es ist definitiv möglich, dass ein etwas ausgefeilter Angreifer Malware außerhalb der direkten Reichweite des Betriebssystems lässt. Eine Neuinstallation des Betriebssystems bedeutet höchstens ein Löschen der Festplatte. Auch dort müssen Sie vorsichtig sein, wenn Sie Daten wiederherstellen, die möglicherweise kompromittiert wurden.

Malware kann in einem der vielen wiederbeschreibbaren Speicher gespeichert werden, die in nahezu jeder Komponente eines modernen Computers lauern. Diese Speicher speichern die Firmware dieser Komponente und sind normalerweise wiederbeschreibbar. Alles, was es braucht, ist die richtige Adresse zu kennen, und die Hersteller stellen normalerweise Tools zum Aktualisieren der Firmware zur Verfügung. Der Angreifer muss also nur seinen eigenen Code ersetzen (es gibt fast nie eine Kryptografie).

Zum Beispiel gibt es ein bekanntes (und ziemlich einfaches) Exploit für Apple Tastaturen , gefunden von K. Chen . Chens Präsentation zeigt, wie Nutzen Sie den verfügbaren Speicher (nur ca. 1 KB), um eine Shell an einem TCP - Port durch Einfügen von Tastenanschlägen zu öffnen, oder protokollieren Sie Tastenanschläge in einem Kontext, in dem eine Passphrase erwartet wird, und spielen Sie sie erneut ab.

Versuchen Sie CVE-2010-0104: ASF-Pufferüberlauf der Broadcom NetXtreme-Verwaltungsfirmware , um ein weiteres Beispiel für eine Firmware-Sicherheitsanfälligkeit in freier Wildbahn zu erhalten. Dies ist ein Fehler in einer Ethernet-Firmware, der es einem Angreifer ermöglicht, die Kontrolle über die Netzwerk-Firmware (und damit zumindest aktiv den gesamten Netzwerkverkehr aktiv) und möglicherweise über den gesamten Computer (ich weiß nicht, ob es einen Exploit gibt) zu übernehmen dafür, aber sobald Sie Zugang zum PCI-Bus haben, bezweifle ich, dass vieles gesperrt ist). Interessanterweise ist diese Sicherheitsanfälligkeit auf einem ausgeschalteten Computer am einfachsten auszunutzen, da sich der Fehler in einem Parser für das Remoteverwaltungsprotokoll befindet, der insbesondere Wake-on-LAN behandelt.

Ein weiteres Beispiel ist erneutes Flashen eines Festplattencontrollers (vorgestellt bei OHM 201 ).

Diese Frage fragt nach Firmware auf Grafikkarten. Während ich schreibe, hat niemand ein Beispiel für eine Malware in freier Wildbahn gegeben, aber die Möglichkeit ist definitiv da.

Auf einem typischen PC gibt es keinen wirklichen Schutz gegen kompromittierte Firmware. Sie müssen jeden einzelnen Flash-Speicher im Computer im Auge behalten. Es wird versucht, die Authentifizierung der Firmware zu verlangen. Auf PCs ist TPM der am weitesten fortgeschrittene Aufwand, mit dem derzeit die Integrität des BIOS und des Betriebssystem-Bootloaders überprüft werden kann, wenn Sie über die erforderliche Hardware und Hardware verfügen ein BIOS, das es unterstützt. Mir ist kein PC bekannt, bei dem die Firmware aller Komponenten auf Integrität überprüft wird (zumindest bevor sie auf den PCI-Bus zugreifen dürfen). Es gibt ähnliche Bemühungen in der Smartphone-Welt, die Sicherheitsfunktionen von ARM Chips nutzen, aber auch hier ist es weit entfernt von der Existenz von Sicherheitsfunktionen bis zur Einbeziehung aller Firmware in die vertrauenswürdige Basis.

In der Praxis müssen Sie sich keine großen Sorgen machen, wenn Sie kein hochkarätiges Ziel sind. Es gibt keine Exploits in freier Wildbahn auf Script-Kiddie-Ebene. Aber die Möglichkeiten sind für Ihren Angreifer mit technischen Fähigkeiten (oder den Mitteln, einen erfahrenen Hacker einzustellen) weit verbreitet.

Firmware-Angriffe werden mit der Zeit immer einfacher. Auf der Black Hat USA 2012 präsentierte Jonathan Brossard „eine generische Proof-of-Concept-Malware für die Intel-Architektur Rakshasa , die mehr als hundert verschiedene Motherboards infizieren kann“. Der Proof-of-Concept (nicht öffentlich veröffentlicht) infiziert viele BIOS und gängige Peripheriegeräte, einschließlich Netzwerkchips. Es ist nur eine Frage der Zeit, bis solche Firmware-Infektions-Frameworks in freier Wildbahn erscheinen. Das NSA wurde gemeldet , um das Einpflanzen von Spyware in das BIOS zu begünstigen.

Neben dem Verstecken Ihres Codes zwischen verschiedenen Peripheriegeräten ist der Bootsektor-Virus eine alte Technik, die ein Comeback feiert. Torpig/Sinowal/Anserin ist das jüngste Beispiel für den umsichtigen Einsatz dieser Technik. Kurz gesagt, sobald der Virus infiziert ist, lädt er Bootstrapping-Code in den MBR. Wenn diese Technik verwendet wird, kann man erwarten, dass der in den MBR geladene Code Folgendes bewirkt:

  1. Überprüfen Sie, ob der Virus vorhanden ist
  2. Wenn nicht, laden Sie es herunter und infizieren Sie es erneut

Die einzige Möglichkeit, so etwas zuverlässig zu bereinigen, um den MBR zu bereinigen. Entweder durch erneutes Partitionieren oder mit einem Tool wie fixmbr. Daher reicht es nicht aus, nur eine Neuinstallation und manchmal ein Format/eine Neuinstallation durchzuführen.

8
Scott Pack

Hängt davon ab, was Sie als "Neuinstallation" betrachten.

Neben dem, was D.W. Erwähnt, einige Dinge könnten beispielsweise in "System Volume Information" - und/oder Recycler-Verzeichnissen (Systemwiederherstellungs- und Papierkorbverzeichnisse) auf zusätzlichen Partitionen verbleiben. Das könnte bei einer neuen Windows-Installation leicht reaktiviert werden, funktioniert aber unter Ubuntu höchstwahrscheinlich nicht. Wenn all diese anderen Partitionen nicht desinfiziert werden, bedeutet dies möglicherweise, dass sich irgendwo in diesen Verzeichnissen noch Malware befindet - wahrscheinlich wird nichts unternommen, nur auf bessere Tage gewartet, bis Windows neu installiert wird]: -> aber immer noch da. Ich würde vorschlagen, dass Sie nach der Installation von Ubuntu clamav installieren, aktualisieren und alles, was Sie haben, erneut scannen.

Wenn Sie wirklich formatieren alles, gibt es immer noch die Punkte D.W. gemacht.

7
pootzko

Schädlicher Code im BIOS/in der Firmware ist möglich, aber viele realistischere Bedrohungen werden oft übersehen. Zwei Beispiele aus meinem Kopf:

Betriebssystem-Repos/Images: Sie sind möglicherweise kompromittiert, sodass Sie im Wesentlichen jedes Mal, wenn Sie Ihre Systeme neu erstellen, ein Betriebssystem oder eine Software mit Backdoor neu installieren.

Out-of-Band-Management: HP ILO, Dell IDRAC oder IPMI. Selbst wenn Sie Ihr System neu installieren, weiß jeder, der es kompromittiert hat, möglicherweise bereits, dass eine Out-of-Band-Verwaltung mit Konsolenzugriff verfügbar ist.

2

Ich denke, die Antwort darauf hängt von der Art der Bedrohungen (und Angreifer) ab, die Sie im Rahmen Ihres Vorgehens gegen Ihren PC in Betracht ziehen.

ALLGEMEINES - Wenn Sie die Festplatte des Computers "echt" neu formatieren (einschließlich, wie einige andere Poster erwähnt haben, der Bootsektoren) und dann ein neues Betriebssystem installieren (hoffentlich etwas anderes als Microsoft Windows). .. aber auch Windows wird es tun, solange Sie es von einer DVD installieren und nicht nur von der "Wiederherstellungspartition" des Herstellers "wiederherstellen", was natürlich leicht durch dieselbe Malware wie der Grund dafür kompromittiert werden könnte Erstes Erstellen des Betriebssystems) und dann für die meisten Anwendungsfälle unter den meisten Bedingungen sollte dies ein akzeptables Maß an Sicherheit bieten, dass der Computer zum Zeitpunkt Ihrer ersten Verwendung nicht "vorab gefährdet" wird .

Beachten Sie jedoch, dass es, wie frühere Poster richtig hervorgehoben haben, definitiv eine Reihe fortgeschrittener Malware- und physischer/BIOS-Manipulationsangriffe gibt, die die Basisinfrastruktur des Computers so stark gefährden können, dass sie wirklich die einzigen 100% sind Eine sichere Vorgehensweise besteht darin, sie einfach zu verschrotten und auf einen anderen PC zu übertragen.

Nach meiner Erfahrung sind diese Arten von Angriffen sehr selten, aber wenn Sie sich (zum Beispiel) in einer Umgebung mit hoher Bedrohung befinden (z. B. ein chinesischer oder iranischer Dissident, Sie sind Edward Snowden usw.), sollten Sie dies am besten nicht tun eine Chance ... insbesondere, wenn es wahrscheinlich ist, dass ein Angreifer irgendwann physischen Zugriff auf den betreffenden PC hatte. (Der NSA ist Experte für das Einpflanzen von BIOS- und Hardware-Kompromissen, die praktisch niemand außer einem anderen Geheimdienst auf nationaler Ebene erkennen oder entfernen kann.)

Im Übrigen möchte ich auf eine weitere Bedrohung hinweisen, die zu viele Menschen beim Initialisieren eines "neuen" PCs vergessen: "Verwenden des gleichen lokalen Zugriffskennworts, insbesondere des Administratorkontokennworts, das ich auf dem letzten PC verwendet habe". Die Logik dahinter ist einfach: "Ich habe eine Hintertür auf Ihrem 'alten' PC installiert und Ihr Passwort abgefangen. Wenn ich also sehe, dass Ihr 'neuer' PC im Internet angezeigt wird, raten Sie, welches Passwort das erste ist, das das ist." Ich werde es versuchen, wenn ich versuche, in den 'neuen' PC einzudringen? "

Hier ist übrigens ein schmutziger Trick: Richten Sie ein "Dummy" -Konto ohne Berechtigungen ein und lassen Sie es mit dem "alten" Passwort sorgfältig überwachen ... und warten Sie ab, was passiert. Tatsächlich richten Sie einen lokalen "Honeypot" ein, um die Schurken anzulocken, die Ihren "alten" PC kompromittiert haben. Natürlich besteht immer die Möglichkeit eines Exploits zur Erhöhung von Berechtigungen. Sie sollten also sehr vorsichtig sein, um das "Dummy" -Konto zu sperren. Selbst wenn sich jemand erfolgreich authentifiziert, kann er nirgendwo hingehen oder irgendetwas tun.

Der Punkt ist, ändern Sie alle Ihre Passwörter sofort, wenn Sie glauben, kompromittiert worden zu sein. Und vertraue nicht irgendetwas das könnte physisch beeinträchtigt worden sein. Wenn Sie dies tun, sollten Sie vor (fast) allen wahrscheinlichen Bedrohungen sicher sein.

1
user53510

Während ich eine andere Frage als dupliziert markierte, schrieb ich auch die Antwort, also lasse ich dies hier, nur für den Fall, dass es für jemanden nützlich ist :

Um realistisch zu sein, wird dadurch meistens alles Art von Malware beseitigt.

Aber.

<paranoider Modus>

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

Ausblenden von Daten in "nicht erreichbaren" Festplattenbereichen: https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard-drive/

Andere, die mir fehlen könnten.

</ paranoider Modus>

Zusammenfassen. Es gibt Möglichkeiten für Infektionen, die nach diesen Neuinstallationsverfahren bestehen bleiben, aber um sie " real" zu halten, mit dass Sie fast alle Standard-Malware-Infektionen loswerden.

( sobald Sie während der Installation nicht erneut infiziert werden. Betriebssystem-Installer mit Malware/Adware wie diesen "Aktivatoren" und dergleichen ...)

0
BBerastegui

Es ist meine Gewohnheit, den Bootsektor auf Null zu setzen und das BIOS auch in solchen Fällen zu aktualisieren (oder einfach neu zu flashen), um eine besonders belastbare Persistenz zu vermeiden. Es ist fast immer unnötig, da Viren normalerweise entweder im Netzwerk oder im Betriebssystem bestehen bleiben. Wenn Sie jedoch sicher sein möchten, sollten Sie auch Vorsichtsmaßnahmen gegen andere Arten der Persistenz treffen.

0
Falcon Momot