Вирус в блоке питания

Обновлено: 24.04.2024

Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста, Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы для удаленного управления, или руткита (rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.

Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена. Подробнее об атаке на BIOS можно прочитать в блоге ThreatPost.


У меня на материнке перемычка есть, запрещающая перезапись :)


> Или нашли какую-нить одну материнку, потыкались и побежали на конференцию?

Для этой чумы достаточно одной марки. Только есть подозрение, что на всех аналогичных тоже сработает.

Насколько помню: основная проблема вирусов сидящих в mbr/boot является защищенный режим ОС. Как они это обошли, интересно? На ум приходят только фантастика с VM, да всякие транслируемые блоки типа DSDT.


> Скоро руткиты будут в микрокод процессора внедрять

А Вы уверены, что их там нет с завода (например, для отслеживания нелицензионного содержимого)? :(((


>> даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена

> И где же вирус в таком случае прячется? В блоке питания?

При перепрошивке ОС загружается или нет? Так вот, вирус активируется в ОЗУ и после прошивки восстанавливается во флэш-памяти.

Мораль: материнки, в которых микросхема БИОС впаяна намертво, а не вставлена в кроватку, опасны, ибо в стандартном программаторе (которому вирусы пофиг, всё сотрёт) их не перешьёшь -- или надо срочно добывать приспопобы, позволяющие программатору работать с микросхемами прямо на материнке, ибо перепай -- операция несколько рискованная.


> При перепрошивке ОС загружается или нет? Так вот, вирус активируется в ОЗУ и после прошивки восстанавливается во флэш-памяти.

> даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена

Ну, если шить из зараженной операционной системы, то возможно. Но какой идиот так будет делать? ИМХО даже из "здоровой" - глупо. Шить (если не программатором) средствами самой БИОС, есть защищенный от записи участок флэш, в котором и хранится этот монитор, или загрузив с защищенного от записи носителя ДОС ( если угодно - Линукс с лайвсиди).


Биосм в оперативке висит, при перепрошивке у тебя только микросхемка гакается, а оперативка со старым, зараженным не отключается и руткит свободно пишет себя в новый биос. Так-то. К.О.


> И где же вирус в таком случае прячется? В блоке питания?

Ужас, нужно не допускать никого к своим "железкам", а то мало ли монитор или хуже того, мышь заразят.


А ещё при физическом доступе к машине можно сломать пополам материнскую плату.


>Да я сносил, а они (вирусы) в шлейфах сидят! А потом опять размножаются!

Продам, освященные патриком, провода и шлейфы для компьютера, не подверженные заразе, 100 баксов/метр.

>А ваще, вспомним чернобыль - очень веселый вирус, кстати.

+1, он у меня был первым и последним вирем, вот только начиная с июня, а дальше я его почикал, оставив себе копию :)

>> Скоро руткиты будут в микрокод процессора внедрять

>А Вы уверены, что их там нет с завода (например, для отслеживания нелицензионного содержимого)? :(((

Закладки в железе могут быть внедрены отнюдь не для столь мирных целей, а целей контроля военными штатов инфраструктуры врага, которому поставляется в огромных кол-вах железо, если вдруг начнутся боевые действия. Пропиетарное ПО тоже может их содержать.


> То уязвимости в процессорах, то заражение биоса.. Что дальше?

Рак северного моста. Прийдётся покупать антивирусные наклейки на корпус.


> А ещё при физическом доступе к машине можно сломать пополам материнскую плату.

Сломанная пополам материнка не может рассылать спам.


> но патч биоса лишь позволяет работать руткиту, а не сам является руткитом.

>перепрошивка биоса из под дос при условии отформатированного винта не даст вирусу далее работать.

При загрузке ЛЮБОЙ (. ) ОС вначале вызывается загрузочный блок биоса, который считывает с диска загрузочный сектор и передаёт ему управление. Это так в тех компьютерах, в которых есть БИОС. (В IBM PC XT было НЕПРОГРАММИРУЕМОЕ СХЕМНОЕ решение, считывавшее загрузочный блок с диска и передававшее ему управление. Во всех последующих аппаратах был БИОС.) Так вот, руткит активируется ДО СЧИТЫВАНИЯ загрузочной информации с диска -- и садится в память. Всё, машина заражена.

> Насколько помню: основная проблема вирусов сидящих в mbr/boot является защищенный режим ОС. Как они это обошли, интересно? На ум приходят только фантастика с VM, да всякие транслируемые блоки типа DSDT.

Ничего фантастического. Никто не мешает перехватывать обращения к диску и патчить ядро, вставляя переходы на свой код, который сидит в резидентной памяти. Для примера под winnt смотреть bootkit, очень понятный и грамотный код.

ЗЫ Догадайтесь у каких устройст есть документрованная команда download microcode? Если кто не догадался, тут недавно вирус был, он на эти девайсы просто пароль ставил. Кстати тоже фича стандарта, и все устройства это поддерживают =)


Забавно. Если бы я отвечал за безопасность, то ногти бы уже сгрыз по локоть из-за отсутствия отечественной базы по разработке и производству вычислительной и офисной техники.

> И где же вирус в таком случае прячется? В блоке питания?
В памяти. И тут же восстановит себя в прошивке
после её перешивания - перезагрузиться просто не
успеешь.

> а биос обнулить достав батарейку не?
Это обнуляет не биос, а cmos nvram с настройками
биос-сетапа.

Это реально жопа. Особенно учитывая то, что биос может быть заражен прямо у производителя.

Ботнет прямо из магазина.

> И где же вирус в таком случае прячется? В блоке питания? В памяти. И тут же восстановит себя в прошивке после её перешивания - перезагрузиться просто не успеешь.

А разве "обычный" бутовый вирус не так же работает? И ничего, лечится.

> А разве "обычный" бутовый вирус не так же работает? И ничего,
> лечится.
Немного не так. Код биоса может сидеть в shadow ram, доступ
к которой на запись запрещён средствами чипсета (в отличии
от запрета записи на уровне защиты страниц, которую антивирь
мог бы обойти). Бутовый вирус в shadow ram не залез бы.
Кроме того, биосовый вирус может и в smm memory сидеть,
где его и по чтению сложно обнаружить будет.
Одним словом, раздолья тут гораздо больше, а антивирус отдыхает.
Наверное, разработчики антивирусов тоже будут пытаться что-то
придумать, но в данной ситуации им не позавидовать. Если вирусу
удалось спуститься на уровень ниже, заручившись аппаратной
защитой, то на какое-то время разрабы антивирусов будут в
глубоком ауте, куда им, в общем то, и дорога. :)

Сейчас большой популярностью пользуются зарядные устройства и гаджеты с режимом быстрой зарядки, который даёт возможность полностью зарядить смартфон за время в пределах одного часа, а часто и быстрее.

Особенно, таким режимом увлекается компания Huawei. Её зарядные устройства SuperCharge с питающим напряжением до 10 вольт закачивают в смартфон ток до 4 ампер. То есть, мощность заряда возрастает до 40 Вт. Это уже мощность среднего паяльника. Некоторые китайские производители применяют даже зарядки на 100 Вт. Если батарея сильно деградирована, это может привести к возгоранию заряжаемого устройства.

Samsung больше заботиться о безопасности своих устройств, поэтому его устройства быстрой зарядки не превышают мощность в 15 Вт.

1

Поэтому, режим быстрой зарядки не только удобен для пользователей, но и выгоден для производителей. Чем быстрее выйдет из строя батарея (а у большинства современных смартфонов батарея несъёмная и достаточно дорогая), тем более высока вероятность, что пользователь скорее отправится в магазин за новым смартфоном.

Кроме того, на срок службы влияет ещё и глубина заряда и разряда батареи. Почему-то бытует мнение, что для батареи полезна разрядка до полного нуля, якобы, это повышает длительность работы от последующего заряда. Однако, это вовсе не так. Давно установлено, что глубина разряда также снижает срок службы батареи. Специалисты рекомендуют не разряжать батарею менее, чем до 20%, и не заряжать более 80% ёмкости. Да, время работы от одного заряда при этом сократится. Но общий срок службы для батареи при таком режиме заряда (и без quick charge!) может увеличиться в 1,5 — 2 раза при приемлемом сроке одного цикла.

И наконец, самое интересное. Инженеры китайского интернет-провайдера Tencent обнаружили, что зарядки повышенной мощности, типа SuperCharge, имеют уязвимость для вирусов. Именно так.

Так вот, в Tencent обнаружили новый класс атак BadPower, нацеленный на поражение зарядных устройств для смартфонов и ноутбуков, поддерживающих протокол быстрой зарядки. Атака позволяет инициировать передачу зарядным устройством чрезмерной мощности, на которую не рассчитано оборудование, что может привести к выходу из строя, расплавлению частей или даже возгоранию устройства.

0_1595242235

Воздействие на зарядное устройства с режимом быстрой зарядки производится со смартфона жертвы, управление которым захвачено атакующим, например, через эксплуатацию уязвимости или внедрение вредоносного ПО. Метод может применяться для физического повреждения скомпрометированного устройства и проведения диверсий, способных вызвать пожар. Подробности здесь.

Глубокое заражение: 5 угроз, проникающих в железо

Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.

1 место: оперативная память

Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.

По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.

До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.

Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.

Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.

Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.

Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.

2 место: жесткие диски

Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.

3 место: интерфейс USB

На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.

На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.

Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!

4 место: интерфейс Thunderbolt

Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.

После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.

5 место: BIOS

Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.

С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.

Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.

Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.


Вас беспокоит, что на вашем компьютере может быть вирус? Если ваш компьютер заражен, то важно знать, как избавиться от компьютерного вируса.

Из этой статьи вы узнаете все, что нужно знать о том, как работают компьютерные вирусы и о том, как удалять компьютерные вирусы.

Краткий план статьи:

  • Как избавиться от компьютерного вируса.
  • Что такое компьютерный вирус.
  • Как определить компьютерный вирус на вашем компьютере.
  • Может ли ваш компьютер заразиться вирусом через электронную почту.
  • Как защитить компьютер от вирусов.

Как избавиться от компьютерного вируса

В этом разделе мы обсудим, как удалить компьютерный вирус с компьютера Windows и с компьютера Mac.

Удаление компьютерного вируса с компьютера с ОС Windows

Компьютерные вирусы почти никогда не видимы. Без антивирусной защиты вы можете и не знать о существовании вируса на вашем компьютере. Вот почему важно установить антивирусную защиту на всех ваших устройствах.

Если на вашем компьютере операционной системой Windows есть вирус, вам нужно выполнить следующие десять простых шагов, чтобы избавиться от него:


Шаг 1: Загрузить и установить антивирусный сканер

Загрузите антивирусный сканер или решение класса Internet Security. Мы рекомендуем использовать Kaspersky Internet Security. Процесс его установки показан в следующем видео:

Шаг 2: Отключиться от интернета

При удалении вируса с компьютера желательно отключаться от интернета, чтобы исключить дальнейшее распространение угрозы: некоторые компьютерные вирусы распространяются через интернет.

Шаг 3: Перезагрузите компьютер в безопасном режиме

Для защиты компьютера при удалении вируса, перезагрузите компьютер в Безопасном режиме. Если вы не знаете, как это сделать, то ниже дается инструкция.

Шаг 4: Удалите все временные файлы

Следуйте следующим шагам:

Некоторые вирусы начинают действовать при перезагрузке компьютера. Удаление временных файлов может удалить вирус. Однако, полагаться только на это не надежно. Чтобы убедиться, что ваш компьютер свободен от вирусов, рекомендуем выполнить следующие шаги.

Шаг 5: Запустите сканирование на вирусы

Теперь пора открыть ваш антивирус или решение класса Internet Security и запустить сканирование на вирусы. Если вы используете Kaspersky Internet Security, выберите и нажмите на кнопку ‘Запустить проверку’ (Scan).

Kaspersky Internet Security Scan

Шаг 6: Удалите вирус или поместите его в карантин

Шаг 7: Перезагрузите компьютер

Шаг 8: Поменяйте все пароли

Чтобы защитить компьютер от дальнейших атак, поменяйте все пароли на тот случай, если они скомпрометированы. Это обязательно, только если у вас есть причина считать, что ваши пароли украдены вредоносной программой, но перестраховаться не мешает в любом случае.

Функционал вируса вы всегда можете проверить на веб-сайте производителя вашего антивируса или связавшись с их группой технической поддержки.

Шаг 9: Обновите ваше ПО, браузер и операционную систему

Обновление ПО, браузера и операционной системы снизит риск эксплуатации киберпреступниками брешей в старом коде для установки вредоносных программ на вашем компьютере.

Удаление компьютерного вируса с компьютера Mac

Если у вас компьютер Mac, вам может казаться, что ваш компьютер не может заразиться вирусом. К сожалению, это заблуждение. Для Mac, по сравнению с Windows, создается меньше вирусов, но они существуют.

Некоторые Mac-вирусы маскируются под антивирусные продукты. Если вы случайно скачали один из таких вирусов, то ваш компьютер может быть заражен. Вот три примера вирусов такого типа: ‘MacDefender’, ‘MacProtector’ и ‘MacSecurity’.

Group of people using laptops and mobile devices

Если вам кажется, что на вашем компьютере Mac завелся вирус, нужно выполнить следующие шесть шагов, чтобы удалить его:

Чтобы проверить, что вы ничего не пропустили, и убедиться в защите вашего Mac, рассмотрите вариант установить и запустить антивирусное решение, если его у вас уже нет. Мы рекомендуем использовать комплексное решение класса Internet Security, такое как Kaspersky Total Security.

Что такое компьютерный вирус?

Компьютерный вирус – это вид вредоносного ПО, отличительной чертой которого является его самовоспроизведение – он копирует себя на любой носитель, который подключается к компьютеру.

Компьютерные вирусы так называются из-за того, что, по аналогии с настоящими вирусами, они способны самовоспроизводиться. После того, как вирус заражает ваш компьютер, он распространяет себя таким образом. При заражении вирусом компьютер может начать работать медленнее, возможны перебои в его работе.

Существует три основных пути, которыми ваш компьютер может заразиться компьютерным вирусом.

Во-первых, компьютер может заразиться через съемные носители, такие как USB-флешки. Если вы вставите в компьютер флешки или диск, полученный от неизвестных источников, то он может содержать вирус.


Иногда хакеры оставляют зараженные флешки или диски на рабочих столах людей или в публичных местах, например, в кафе, с расчетом распространить таким образом компьютерный вирус. Люди, которые совместно используют USB-носители, также могут переносить таким методом файлы с зараженного компьютера на незараженный.

Другой способ заражения компьютера вирусом – это скачать вирус из интернета.

Если вы загружаете ПО или приложения на ваш компьютер, обязательно берите их из доверенных источников, таких как Google Play или App Store у Apple. Не загружайте ничего из всплывающих окон или с веб-сайтов, о которых ничего не знаете.

Признаки того, что на вашем компьютере есть вирус

Есть несколько признаков того, что на вашем компьютере завелся вирус.

Во-первых, вас должно насторожить, если ваш компьютер стал тормозить. Если задачи выполняются дольше, чем обычно, то возможно, ваш компьютер заражен.

Во-вторых, будьте внимательны при появлении на компьютере подозрительных приложений или программ, о которых вы ничего не знаете. Если вы заметили, чтобы на компьютере появилось приложение или программа, которую вы не скачивали, будьте осторожны.

Желательно удалить все программы на компьютере, которые вам неизвестны, а затем запустить сканирование в антивирусе или защитном устройстве класса Internet Security, чтобы проверить компьютер на наличие угроз. Если при закрытии браузера возникают всплывающие окна – это верный признак того, что компьютер заражен вирусом. Если вы заметите такое, сразу же примите меры, чтобы удалить вирус. Для этого следуйте инструкциям, данным выше.

Frustrated man on a laptop browsing

Еще один признак возможного заражения компьютера вирусом – это странности в работе приложений или программ. Если программы стали завершаться аварийно по непонятной причине, то, возможно, на вашем компьютере завелся вирус.

И наконец, зараженный компьютер может начать перегреваться. Если вы заметите такое, проверьте компьютер на вирусы, запустив антивирус или защитное решение класса Internet Security.

Как компьютер может заразиться вирусом через электронную почту?

Как защитить компьютер от вирусов

Вот основные способы, которые позволят вам защитить компьютер от вирусов:

Как работают компьютерные вирусы?

На вашем компьютере обнаружился вирус? Узнайте, как избавиться от компьютерного вируса, как проверить, не заражен ли ваш компьютер вирусами, и можно ли получить компьютерный вирус через почту.

Избранные статьи

content/ru-ru/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Риски безопасности и конфиденциальности в виртуальной и дополненной реальности

content/ru-ru/images/repository/isc/2021/trickbot_image1_710x400px_300dpi.jpg

TrickBot – многоцелевой ботнет

content/ru-ru/images/repository/isc/2021/top_ransomware_attacks_1.jpg

Основные атаки программ-вымогателей

content/ru-ru/images/repository/isc/2020/deep-web-cover.jpg

Что такое глубокий и теневой интернет?

content/ru-ru/images/repository/isc/2020/keepkidssafecovid1.jpg

Как защитить детей в интернете во время коронавируса

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop

Читайте также: