Могут ли какие-либо вредоносные программы / руткиты оставаться на моем компьютере после заводской установки? У моего Dell Inspiron, работающего под Windows 7, было (возможно, все еще есть) какое-то вредоносное ПО (возможно, руткит), в худшем случае он полностью контролировал мой компьютер. Я использую премию bybyteasyware, основы безопасности Microsoft и средство удаления вредоносных программ Microsoft. все это ничего не даст после полного сканирования. но мой беспроводной адаптер не позволил бы мне подключиться к Интернету, но я все еще видел бы подключения к моему компьютеру и обратно, единственное, что остановило это отключение адаптера из моего BIOS. услуги, процессы, которые я не мог приостановить или остановить. программы со странным или без имени я не мог удалить или не переустановить. файлы / папки, которые я не мог просмотреть или изменить. дополнительные скрытые пользователи с правами администратора я бы удалил одного, и прежде чем я успел развернуться, на его месте появился еще один. Поэтому я сделал заводскую установку Windows 7 Home Premium (с новым диском Windows, который мне отправил dell), и почти сразу же я начал видеть некоторые из тех же самых странных процессов и соединений с IP-адресами, на которые я не собирался.
1 ответ
В статье Википедии «Защищенная область хоста» говорится:«Некоторые эксплойты АНБ используют HPA [5] для обеспечения устойчивости приложений». Исходя из этого утверждения (если предположить, что оно написано в Википедии на самом деле верно), это будет означать, что устройства были заражены, что позволяет вредоносным программам сохраняться, даже если вся область данных обычного жесткого диска стерта. Когда устройство запускается, в то время, когда BIOS пытается установить связь с различным оборудованием, даже до загрузки операционной системы, прошивка устройства может выполнять вредоносные инструкции, которые могут нарушить даже процесс очистки жесткого диска, а затем переустановить операционная система.
"Защищенная область хоста" может содержать сектора, которые жесткий диск может использовать для переназначения поврежденных секторов. Это может быть раздел жесткого диска, который доступен только через определенное программное обеспечение и, как правило, недоступен большинству программного обеспечения, которое обычно используется (как часть операционной системы). Например, хотя hdparm может увидеть это в Linux, обычное программное обеспечение, такое как fdisk, может не знать об этом дисковом пространстве.
Антивирусное программное обеспечение может вряд ли обнаружить такие вещи, так как такое взаимодействие с оборудованием может быть довольно специфичным для моделей оборудования. Это означает, что не может быть универсального способа выполнить стандартизированную проверку для таких проблем. Возможно, именно поэтому Микко Хиппонен из антивирусного программного обеспечения F-Secure обсуждал "впечатляющий провал для нашей компании и для антивирусной индустрии в целом". «Правда заключается в том, что потребительские антивирусные продукты не могут защитить от целевого вредоносного ПО, созданного хорошо обеспеченными ресурсами национальными государствами с огромным бюджетом». (Источник: Wired: Почему антивирусные компании, такие как Mine, не смогли поймать вредоносное ПО)
Так может ли это случиться? Абсолютно. Это происходит? Эксперты, похоже, указывают, что это происходит в громких ситуациях, когда правительства готовы вкладывать серьезные ресурсы в такие вещи. Как часто подобные вещи случаются с более распространенным вредоносным ПО, которое может повлиять на систему конечного пользователя? Этот ответ может быть довольно трудно сказать, но некоторые способности имеют тенденцию распространяться со временем, так как программное обеспечение становится доступным, а дополнительные злоумышленники продолжают учиться. Возможности, используемые активными ворами, улучшаются, в результате чего правильный ответ будет мрачнее на следующей неделе по сравнению с ситуацией с прошлой недели. Мрачнее, чем ответ на прошлой неделе.