新聞轉貼 - 比Rootkit更狠的病毒：Bootkit 格式化硬碟都沒用！

lutunhsiang · 2015-12-14, 10:20 PM

一款新發現的bootkit 可感染電腦最底層軟體，且在電腦開機時，Windows作業系統還沒載入前即開始執行，而且至少今年初就已經開始活動。

之前造成為害甚烈的Nemesis惡意軟體套件就有bootkit，雖然它目前只鎖定金融機構，但如果將bootkit的功能加入到普及性的軟體中，更多產業機構將難逃被入侵的威脅。

Bootkit最可怕的地方在於它載入惡意程式的速度比Windows本身載入時間更快，使Windows程序難以辨識出惡意活動，所以移除它更困難，就算重灌作業系統也沒用。它很像NSA攻擊，即使磁碟全部格式化也殺不死，但到目前為止我們知道，大部份情況下攻擊者必須要能滲透到受害對象的硬體才行。如果被它滲透進電腦，這隻純軟體病毒就能安裝在很隱密的角落，永遠不被發現。

bootkit

這隻病毒被安全人員稱為Bootrash，它可感染電腦的主開機紀錄(Master Boot Record, MBR)，後者含關於磁碟分區的基本資訊，以及如何初始化主要磁區的基本程式碼。Nemesis是安裝在磁區之間的空隙，而Bootrash則是在系統啟動時，注入在還在載入中的Windows程序中。在某種程度上，對Windows來說，這個開始時程式碼的集結過程是它執行的基礎，怎料它卻在Windows開始執行之前就變成惡意程式的藏匿所？

唯一能以防毒軟體將bootkit從電腦驅逐出去的方法，是針對所有RAW磁碟內容整批掃瞄，而非掃瞄正在進行中的活動。這是很花時間的事，尤其是大型連網伺服器有太多儲存區可以藏匿，而且這類掃瞄需佔用相當資源及運算時間。大部份掃毒軟體都不會檢查Windows登錄檔(registry)或是由Bootrash建立自我躲藏的虛擬檔案系統中－－防範這類攻擊需要全新的數位安全策略。

奇怪的是，Nemesis作者似乎後來加入反安裝能力，可重建原本的開機程序。這種方法無法移除Nemesis程式碼或回復它在你未用磁碟區中自行建立的小型檔案系統，但卻可以防止Nemesis在開機時執行。為什麼攻擊者會加入自我毀滅的機制沒有人知道，不過可能原因是它將演化成「勒贖軟體(ransomware)」。

要知道，bootkit的目標不只是銀行或信用卡交易紀錄，它們基本上是技術更高超的rootkit，從Sony到美國政府都曾經使用。bootkit比rootkit更難以殺死，但也使駭客無法自圓其說－你還可以說是出於善意而安裝rootkit，但bootkit則絕對是對使用者有目的而來。任何安裝bootkit的一般企業如果被發現，將可能要付上天價的代價。

不過值得一提的是，如果電腦沒有給bootkit接觸的機會，就不會有事。bootkit可能是高深的超級電腦病毒，但它接觸到目標電腦的方法，則和過去的惡意程式差不多：像是以電子郵件或社交媒體傳送魚叉式網釣訊息來欺騙個人上當。安全產業固然必須發展出更新、更厲害的防範技術，但安全教育及健康的上網習慣更是企業不可或缺的防線，做得愈多，損失愈少。
以上來自:http://news.networkmagazine.com.tw/c...5/12/14/66173/
=================================

怎麼讓我覺得比以前的CIH病毒還要強，我猜此病毒設計者主要是針對企業主與政府機關

這些，一般老百姓我們也沒錢支付你金錢，說真的這種病毒我想國內還沒有造成太大災情

runonetime · 2015-12-15, 06:41 AM

快了快了第三方支付如被感染就中了

getter · 2015-12-15, 06:56 AM

充滿漏洞 ... 一般格式化當然無，低階格式化或是硬碟抹除就好了 ...
另利用 Fdisk、SPfdisk 或是使用硬碟分割工具，做 MBR 清除/重建就可以了

如果是躲在 BIOS 裡面 ... 就真的不好處理了 ...

a471 · 2015-12-15, 01:23 PM

引用:

作者: getter

充滿漏洞 ... 一般格式化當然無，低階格式化或是硬碟抹除就好了 ...
另利用 Fdisk、SPfdisk 或是使用硬碟分割工具，做 MBR 清除/重建就可以了

如果是躲在 BIOS 裡面 ... 就真的不好處理了 ...

寫入MBR很厲害?~~清理掉就好啦...要入侵韌體才厲害，必須動用烙鐵才能處理..

看不懂在危言聳聽什麼..

cwvdavid · 2015-12-15, 02:16 PM

因為現階段大多數使用者都不會用FDISK之類的東西呀...

只會用作業系統內建的...格式化...

所以..........當然沒得救呀
(至於不會中的, 還是不會中啦)

getter · 2015-12-15, 07:41 PM

MBR 防治的話 ... 以前 DOS 時代的某時期主機板 BIOS 上有一個功能 ... MBR 防寫
可以阻斷以 MBR 寫入的病毒，但是從 Win95 開始，也會對 MBR 寫入系統資訊的結果
使得主機板 BIOS 的 MBR 防寫機能會有妨礙，之後的新一代主機板就陸續取消這個機能。

現在的主機板還有沒有這個機 MBR 防寫，就不清處了。

2015-12-14, 10:20 PM	#1
lutunhsiang 列管會員榮譽勳章勳章總數17 UID - 278416 在線等級: 註冊日期: 2007-08-31 VIP期限: 2009-12 住址: Taichung 文章: 14124 精華: 0 現金: -3 金幣資產: -3 金幣	新聞轉貼 - 比Rootkit更狠的病毒：Bootkit 格式化硬碟都沒用！一款新發現的bootkit 可感染電腦最底層軟體，且在電腦開機時，Windows作業系統還沒載入前即開始執行，而且至少今年初就已經開始活動。之前造成為害甚烈的Nemesis惡意軟體套件就有bootkit，雖然它目前只鎖定金融機構，但如果將bootkit的功能加入到普及性的軟體中，更多產業機構將難逃被入侵的威脅。 Bootkit最可怕的地方在於它載入惡意程式的速度比Windows本身載入時間更快，使Windows程序難以辨識出惡意活動，所以移除它更困難，就算重灌作業系統也沒用。它很像NSA攻擊，即使磁碟全部格式化也殺不死，但到目前為止我們知道，大部份情況下攻擊者必須要能滲透到受害對象的硬體才行。如果被它滲透進電腦，這隻純軟體病毒就能安裝在很隱密的角落，永遠不被發現。 bootkit 這隻病毒被安全人員稱為Bootrash，它可感染電腦的主開機紀錄(Master Boot Record, MBR)，後者含關於磁碟分區的基本資訊，以及如何初始化主要磁區的基本程式碼。Nemesis是安裝在磁區之間的空隙，而Bootrash則是在系統啟動時，注入在還在載入中的Windows程序中。在某種程度上，對Windows來說，這個開始時程式碼的集結過程是它執行的基礎，怎料它卻在Windows開始執行之前就變成惡意程式的藏匿所？唯一能以防毒軟體將bootkit從電腦驅逐出去的方法，是針對所有RAW磁碟內容整批掃瞄，而非掃瞄正在進行中的活動。這是很花時間的事，尤其是大型連網伺服器有太多儲存區可以藏匿，而且這類掃瞄需佔用相當資源及運算時間。大部份掃毒軟體都不會檢查Windows登錄檔(registry)或是由Bootrash建立自我躲藏的虛擬檔案系統中－－防範這類攻擊需要全新的數位安全策略。奇怪的是，Nemesis作者似乎後來加入反安裝能力，可重建原本的開機程序。這種方法無法移除Nemesis程式碼或回復它在你未用磁碟區中自行建立的小型檔案系統，但卻可以防止Nemesis在開機時執行。為什麼攻擊者會加入自我毀滅的機制沒有人知道，不過可能原因是它將演化成「勒贖軟體(ransomware)」。要知道，bootkit的目標不只是銀行或信用卡交易紀錄，它們基本上是技術更高超的rootkit，從Sony到美國政府都曾經使用。bootkit比rootkit更難以殺死，但也使駭客無法自圓其說－你還可以說是出於善意而安裝rootkit，但bootkit則絕對是對使用者有目的而來。任何安裝bootkit的一般企業如果被發現，將可能要付上天價的代價。不過值得一提的是，如果電腦沒有給bootkit接觸的機會，就不會有事。bootkit可能是高深的超級電腦病毒，但它接觸到目標電腦的方法，則和過去的惡意程式差不多：像是以電子郵件或社交媒體傳送魚叉式網釣訊息來欺騙個人上當。安全產業固然必須發展出更新、更厲害的防範技術，但安全教育及健康的上網習慣更是企業不可或缺的防線，做得愈多，損失愈少。以上來自:http://news.networkmagazine.com.tw/c...5/12/14/66173/ ================================= 怎麼讓我覺得比以前的CIH病毒還要強，我猜此病毒設計者主要是針對企業主與政府機關這些，一般老百姓我們也沒錢支付你金錢，說真的這種病毒我想國內還沒有造成太大災情

	送花文章: 56979, 收花文章: 12813 篇, 收花: 50123 次

2015-12-15, 06:41 AM	#2 (permalink)
runonetime 長老會員榮譽勳章勳章總數13 UID - 289940 在線等級: 註冊日期: 2008-01-03 文章: 8717 精華: 0 現金: 191 金幣資產: 2145575 金幣	快了快了第三方支付如被感染就中了

	送花文章: 41052, 收花文章: 3694 篇, 收花: 12426 次

2015-12-15, 06:56 AM	#3 (permalink)
getter 管理員榮譽勳章勳章總數19 UID - 6433 在線等級: 註冊日期: 2002-12-08 住址: 天線星球文章: 8157 精華: 0 現金: 19955 金幣資產: 765391 金幣	充滿漏洞 ... 一般格式化當然無，低階格式化或是硬碟抹除就好了 ... 另利用 Fdisk、SPfdisk 或是使用硬碟分割工具，做 MBR 清除/重建就可以了如果是躲在 BIOS 裡面 ... 就真的不好處理了 ...
	__________________ 在「專業主討論區」中的問題解決後，要記得按一下按鈕喔，這是一種禮貌動作。一樣是在「專業主討論區」中發問，不管問題解決與否，都要回應別人的回答文喔。不然搞 [斷頭文]，只看不回應，下次被別人列入黑名單就不要怪人喔。天線寶寶說再見啦~ ... 天線寶寶說再見啦~ 迪西：「再見~ 再見~」『 Otaku Culture Party 』關心您 ...
	送花文章: 37855, 收花文章: 6441 篇, 收花: 26052 次

2015-12-15, 02:16 PM	#5 (permalink)
cwvdavid 長老會員榮譽勳章勳章總數11 UID - 476 在線等級: 註冊日期: 2002-12-06 住址: 天與地的夾縫文章: 3106 精華: 0 現金: 5256 金幣資產: 2034465 金幣	因為現階段大多數使用者都不會用FDISK之類的東西呀... 只會用作業系統內建的...格式化... 所以..........當然沒得救呀 (至於不會中的, 還是不會中啦)
	__________________ 姜太公釣魚~ 願者上鉤
	送花文章: 4036, 收花文章: 2466 篇, 收花: 10141 次

2015-12-15, 07:41 PM	#6 (permalink)
getter 管理員榮譽勳章勳章總數19 UID - 6433 在線等級: 註冊日期: 2002-12-08 住址: 天線星球文章: 8157 精華: 0 現金: 19955 金幣資產: 765391 金幣	MBR 防治的話 ... 以前 DOS 時代的某時期主機板 BIOS 上有一個功能 ... MBR 防寫可以阻斷以 MBR 寫入的病毒，但是從 Win95 開始，也會對 MBR 寫入系統資訊的結果使得主機板 BIOS 的 MBR 防寫機能會有妨礙，之後的新一代主機板就陸續取消這個機能。現在的主機板還有沒有這個機 MBR 防寫，就不清處了。

	送花文章: 37855, 收花文章: 6441 篇, 收花: 26052 次

Google 提供的廣告