Страница 1 из 2

Новость удивила - Касперский о вирусах в винчестерах... ;-)

Добавлено: 17 фев 2015, 21:26
h0stclicking
http://snob.ru/selected/entry/88033
Хакеры начали устанавливать шпионские программы с 2001 года. Они ставили на «винчестеры» модули, которые перепрограммировали заводскую прошивку, после чего получали контроль над компьютерами. Переустановка системы или форматирование диска не избавляло жесткие диски от вируса-шпиона.

«Лаборатория Касперского» считает, что модуль может проникнуть во встроенное программное обеспечение более одного десятка производителей жестких дисков, в частности, Western Digital, Maxtor и Micron Technology. В компаниях Western Digital, Seagate и Micron сообщили, что не знают о шпионских программах, в Toshiba и Samsung от комментариев отказались.
Что скажут гуру? ;-)

Re: Новость удивила - Касперский о вирусах в винчестерах...

Добавлено: 17 фев 2015, 21:56
Vlad
Бред

Re: Новость удивила - Касперский о вирусах в винчестерах...

Добавлено: 17 фев 2015, 22:32
alexyc
причем махровый

Re: Новость удивила - Касперский о вирусах в винчестерах...

Добавлено: 18 фев 2015, 00:21
tomset
теоретически возможно.
К примеру тут перец исследовал возможность вмешаться:
http://spritesmods.com/?art=hddhack
Но это слишком сложно, нужно учитывать массу модификаций хардов и фирмварей.
А в сообщениях HDD всех производители упоминаются
Ну даже если допустить, что амерканские производители показывают код FW своим службам безопасности.
То японцы и другие вряд ли дадут.

А вот через USB коробку или USB плату вполне можно вирус запустить c любого HDD.
Есть коробки USB, которые подменяют несколько секторов в начале диска, на сектора из флешки USB контроллера.
Сам сталкивался с такими. Форматируешь хард, вставляешь в коробку - нет MBR
И наоборот форматируешь чистый хард в USB коробке, подключаешь хард в SATA - нет MBR.
Ну а дальше все просто. Такой "заражённый" USB контроллер, например, после 113 включения, подменяет нормальный MBR и несколько секторов на код вируса в загрузчике. Ну и дальше все обычно.
Ну и продать такую коробочку на пути следования сотрудников на работу нужного банка или фирмы, плевое дело. Выкинул дешёвую партию в ближайший магазинчик, а сотрудникам, которых уже знают в лицо, легко впарить подделку, идеально похожую на изделие производителя.
ps.
ссылку взял здесь:
http://forum.hddguru.com/viewtopic.php?f=3&t=30564

Но вот последствия для нас от этого скандала, будут самые неприятные.
Производители HDD зашифруют всю SA, хрен чего починишь и поднимешь данные.

Re: Новость удивила - Касперский о вирусах в винчестерах...

Добавлено: 18 фев 2015, 06:03
Vlad
не возможно даже теоретически
1 подменять сектор нельзя в лоб, хард не знает ни как он будет разбит, ни какая ос будет стоять

2 как оно сможет распространяться при современных ОС без доступа к физ памяти и портам ввода вывода? тащить подписаный мелкомягкими драйвер или предлагать пользователю перезагрузиться в режим без проверки подписи? :)

3 если подменять сектор, должно находиться любым антивирусом, винту не сообщают кто читает сектор, биос или антивирус

4 где оно в винте может жить, что бы получить доступ к процу винта? кроме какого-то ата оверлея негде
у одной только ВД версий оверлеев и сильно различных СА море просто
Поддержка более менее вменяемого парка моделей винтов раздует такой вирус до состояния просто не влазит в СА винта

Ну и дальше продолжить можно :)

Re: Новость удивила - Касперский о вирусах в винчестерах...

Добавлено: 18 фев 2015, 09:40
IzyumAS
ну, чисто теоретически:
1. используем стандартный механизм HPA и откусывем сзади нужный кусок... при современных объемах - мало кто заметит пропажу нескольких сот МБ
2. В появившееся хранилище кладем все нужное
3. Анализируем производителя, модель, версию вари и чего-то интегрируем в родное ПО
4. Все следы своей работы (если сбор инфы) храним все там же - в области, откушеной по HPA

Re: Новость удивила - Касперский о вирусах в винчестерах...

Добавлено: 18 фев 2015, 09:57
microhdd
тоже задумывался раньше об этом.и что в ум пришло так это тоже о HPA механизме...

Re: Новость удивила - Касперский о вирусах в винчестерах...

Добавлено: 18 фев 2015, 10:33
Vlad
Разве винт даст читать по логике откушеное по HPA?
Ну и точно биос и опереционка при старте не загрузят ничего из этой области, там оно и останется на веки вечные:)

Re: Новость удивила - Касперский о вирусах в винчестерах...

Добавлено: 18 фев 2015, 10:38
IzyumAS
Host protected area
Материал из Википедии — свободной энциклопедии

host protected area (HPA), иногда расшифровывают как hidden protected area[1] - это область жесткого диска, которая не видна в операционной системе (ОС). Может быть выделена средствами BIOS некоторых материнских плат или специального программного обеспечения. В этой области может храниться информация о параметрах работы ПК, которая записывается туда при проверке системы средствами производителя ПК. Например так поступает фирма DELL на некоторых ноутбуках. Также в скрытой области может содержаться информация для восстановления программного обеспечения ПК к первоначальному состоянию. В некоторых случаях область используется для сокрытия информации с целью сделать ее максимально недоступной.


Судя по утверждениям Вики как-то туда можно достучаться:)

Re: Новость удивила - Касперский о вирусах в винчестерах...

Добавлено: 18 фев 2015, 10:40
IzyumAS
ну и опять же, до перезагрузки (по необходимости) его можно то и отключить...
Типа понадобилось - сделали эту область видимой, не нужно прячем ее...