Новость удивила - Касперский о вирусах в винчестерах... ;-)

Разговоры о погоде, за жизнь и все такое :)
h0stclicking
Сообщения: 103
Зарегистрирован: 18 янв 2015, 10:24

Новость удивила - Касперский о вирусах в винчестерах... ;-)

Сообщение h0stclicking »

http://snob.ru/selected/entry/88033
Хакеры начали устанавливать шпионские программы с 2001 года. Они ставили на «винчестеры» модули, которые перепрограммировали заводскую прошивку, после чего получали контроль над компьютерами. Переустановка системы или форматирование диска не избавляло жесткие диски от вируса-шпиона.

«Лаборатория Касперского» считает, что модуль может проникнуть во встроенное программное обеспечение более одного десятка производителей жестких дисков, в частности, Western Digital, Maxtor и Micron Technology. В компаниях Western Digital, Seagate и Micron сообщили, что не знают о шпионских программах, в Toshiba и Samsung от комментариев отказались.
Что скажут гуру? ;-)
Аватара пользователя
Vlad
Разработчик
Сообщения: 4815
Зарегистрирован: 13 авг 2013, 07:53

Re: Новость удивила - Касперский о вирусах в винчестерах...

Сообщение Vlad »

Бред
tomset
Сообщения: 918
Зарегистрирован: 01 янв 1970, 00:00

Re: Новость удивила - Касперский о вирусах в винчестерах...

Сообщение tomset »

теоретически возможно.
К примеру тут перец исследовал возможность вмешаться:
http://spritesmods.com/?art=hddhack
Но это слишком сложно, нужно учитывать массу модификаций хардов и фирмварей.
А в сообщениях HDD всех производители упоминаются
Ну даже если допустить, что амерканские производители показывают код FW своим службам безопасности.
То японцы и другие вряд ли дадут.

А вот через USB коробку или USB плату вполне можно вирус запустить c любого HDD.
Есть коробки USB, которые подменяют несколько секторов в начале диска, на сектора из флешки USB контроллера.
Сам сталкивался с такими. Форматируешь хард, вставляешь в коробку - нет MBR
И наоборот форматируешь чистый хард в USB коробке, подключаешь хард в SATA - нет MBR.
Ну а дальше все просто. Такой "заражённый" USB контроллер, например, после 113 включения, подменяет нормальный MBR и несколько секторов на код вируса в загрузчике. Ну и дальше все обычно.
Ну и продать такую коробочку на пути следования сотрудников на работу нужного банка или фирмы, плевое дело. Выкинул дешёвую партию в ближайший магазинчик, а сотрудникам, которых уже знают в лицо, легко впарить подделку, идеально похожую на изделие производителя.
ps.
ссылку взял здесь:
http://forum.hddguru.com/viewtopic.php?f=3&t=30564

Но вот последствия для нас от этого скандала, будут самые неприятные.
Производители HDD зашифруют всю SA, хрен чего починишь и поднимешь данные.
Аватара пользователя
Vlad
Разработчик
Сообщения: 4815
Зарегистрирован: 13 авг 2013, 07:53

Re: Новость удивила - Касперский о вирусах в винчестерах...

Сообщение Vlad »

не возможно даже теоретически
1 подменять сектор нельзя в лоб, хард не знает ни как он будет разбит, ни какая ос будет стоять

2 как оно сможет распространяться при современных ОС без доступа к физ памяти и портам ввода вывода? тащить подписаный мелкомягкими драйвер или предлагать пользователю перезагрузиться в режим без проверки подписи? :)

3 если подменять сектор, должно находиться любым антивирусом, винту не сообщают кто читает сектор, биос или антивирус

4 где оно в винте может жить, что бы получить доступ к процу винта? кроме какого-то ата оверлея негде
у одной только ВД версий оверлеев и сильно различных СА море просто
Поддержка более менее вменяемого парка моделей винтов раздует такой вирус до состояния просто не влазит в СА винта

Ну и дальше продолжить можно :)
IzyumAS
Сообщения: 741
Зарегистрирован: 01 янв 1970, 00:00
Откуда: Украина, Харьковская обл.
Контактная информация:

Re: Новость удивила - Касперский о вирусах в винчестерах...

Сообщение IzyumAS »

ну, чисто теоретически:
1. используем стандартный механизм HPA и откусывем сзади нужный кусок... при современных объемах - мало кто заметит пропажу нескольких сот МБ
2. В появившееся хранилище кладем все нужное
3. Анализируем производителя, модель, версию вари и чего-то интегрируем в родное ПО
4. Все следы своей работы (если сбор инфы) храним все там же - в области, откушеной по HPA
microhdd
Сообщения: 39
Зарегистрирован: 01 янв 1970, 00:00
Откуда: Тольятти
Контактная информация:

Re: Новость удивила - Касперский о вирусах в винчестерах...

Сообщение microhdd »

тоже задумывался раньше об этом.и что в ум пришло так это тоже о HPA механизме...
Аватара пользователя
Vlad
Разработчик
Сообщения: 4815
Зарегистрирован: 13 авг 2013, 07:53

Re: Новость удивила - Касперский о вирусах в винчестерах...

Сообщение Vlad »

Разве винт даст читать по логике откушеное по HPA?
Ну и точно биос и опереционка при старте не загрузят ничего из этой области, там оно и останется на веки вечные:)
IzyumAS
Сообщения: 741
Зарегистрирован: 01 янв 1970, 00:00
Откуда: Украина, Харьковская обл.
Контактная информация:

Re: Новость удивила - Касперский о вирусах в винчестерах...

Сообщение IzyumAS »

Host protected area
Материал из Википедии — свободной энциклопедии

host protected area (HPA), иногда расшифровывают как hidden protected area[1] - это область жесткого диска, которая не видна в операционной системе (ОС). Может быть выделена средствами BIOS некоторых материнских плат или специального программного обеспечения. В этой области может храниться информация о параметрах работы ПК, которая записывается туда при проверке системы средствами производителя ПК. Например так поступает фирма DELL на некоторых ноутбуках. Также в скрытой области может содержаться информация для восстановления программного обеспечения ПК к первоначальному состоянию. В некоторых случаях область используется для сокрытия информации с целью сделать ее максимально недоступной.


Судя по утверждениям Вики как-то туда можно достучаться:)
IzyumAS
Сообщения: 741
Зарегистрирован: 01 янв 1970, 00:00
Откуда: Украина, Харьковская обл.
Контактная информация:

Re: Новость удивила - Касперский о вирусах в винчестерах...

Сообщение IzyumAS »

ну и опять же, до перезагрузки (по необходимости) его можно то и отключить...
Типа понадобилось - сделали эту область видимой, не нужно прячем ее...
Ответить