web-dev-qa-db-fra.com

Un malware peut-il allumer un ordinateur?

Je viens de télécharger et d'exécuter un logiciel malveillant sur mon ordinateur.

Je n'ai pas beaucoup de temps pour le moment, alors je l'ai juste éteint (éteint via le menu Démarrer), en espérant qu'il ne pourra pas voler de données ou faire des activités malveillantes jusqu'à ce que je puisse le neutraliser de l'orbite.

  • Est-ce suffisant pour empêcher le malware de continuer à mener des activités malveillantes?
  • Le logiciel malveillant peut-il allumer mon ordinateur?
  • Dois-je également le débrancher et retirer sa batterie?
malware
88
Benoit Esnard

TL; DR Oui, mais c'est peu probable. Juste pour être sûr, débranchez le PC ou assurez-vous qu'il ne peut se connecter à rien.

Plusieurs systèmes d'exploitation - notamment Windows 10 - ont la possibilité de définir " réveil automatique ", en utilisant des pilotes appropriés et une gestion matérielle complexe et connexe.

En conséquence, [~ # ~] si [~ # ~] (et c'est un gros si!), Un programme malveillant a obtenu un accès suffisant pour avoir le système d'exploitation fait ses enchères, il a un moyen de simplement demander le système lui-même pour le faire en son nom.

Sur certains systèmes (que le logiciel malveillant doit être capable de reconnaître et de planifier), cela vaut également pour la "vraie mise hors tension": des circuits supplémentaires allumeront l'ordinateur à une heure présélectionnée de l'horloge temps réel intégrée. D'une manière moins accessible aux logiciels, cela est disponible sur certains BIOS de bureau ("Mise sous tension automatique: [] Jamais; [] Après une coupure de courant; [] Tous les jours à une heure donnée: : "ou similaire, dans la configuration du BIOS).

Ensuite, le système se mettra automatiquement sous tension après un certain temps, par exemple à un moment où vous êtes probablement endormi.

Donc:

  • il existe RTC prise en charge matérielle de mise sous tension, ou plus (systèmes de gestion intégrés, courants sur les ordinateurs d'entreprise)
    • le malware doit déjà avoir pris le contrôle du système, car les fonctions RTC nécessitent généralement un accès administrateur/root).
  • Prise en charge matérielle RTC powerup absente ou non utilisée:
    • si le malware a pris le contrôle du système, il peut avoir remplacé la procédure d'arrêt par une simple mise en veille , et configuré des choses pour quitter le mode veille à un moment ultérieur.

Mais l'a fait l'une de ces options se produit-elle? Probablement pas. La plupart des logiciels malveillants reposent sur leur exécution involontaire et leur capacité à fonctionner sans être détecté pendant un certain temps. La "simulation de mise hors tension" n'est utile que dans des scénarios très spécifiques (et l'option matérielle n'est disponible que sur un nombre relativement limité de systèmes), et je ne pense pas qu'il serait utile pour un auteur de logiciels malveillants de s'en inquiéter. Ils vont généralement avec la troisième option la plus simple:

  • certaines des séquences de démarrage ou d'ouverture de session automatiques habituelles (autoexec, scripts de démarrage, tâches planifiées, services d'exécution, etc.) sont subverties afin que du code supplémentaire, à savoir le malware, soit exécuté en silence.

Pour un malware "ciblé", conçu avec une victime spécifique à l'esprit et adapté aux capacités de la cible spécifique, plutôt que le sous-ensemble disponible sur la machine infectée moyenne, toutes les qualifications ci-dessus n'entreraient pas en jeu.

126
LSerni

Comme d'autres l'ont mentionné, cela est tout à fait possible sur la plupart du matériel PC, bien que cela ne soit pas très probable actuellement (car la grande majorité des logiciels malveillants ne dérange pas).

Ce que d'autres ont dit n'est pas possible est cependant faux . En fait, le logiciel PEUT réveiller un ordinateur qui a été régulièrement éteint soit via les commandes "shutdown" ou "poweroff" (GNU/Linux) ou en cliquant sur le bouton "start" puis sur "Shutdown" (MS Windows), ou via une pression manuelle sur le bouton d'alimentation.

La fonctionnalité est appelée réveil RTC , et elle permet au logiciel de planifier le réveil à une heure précise de la journée. Il est contrôlé par puce d'horloge en temps réel (puce qui garde la trace du temps lorsque votre ordinateur est éteint et fonctionne avec sa propre batterie CR2032).

Si vous exécutez un système GNU/Linux, le contrôle de cette fonctionnalité est assuré par la commande système rtcwake(8).

Comme fonctionnalité connexe, de nombreux ordinateurs ont également une fonctionnalité appelée Wake on LAN , qui permet à d'autres ordinateurs et routeurs d'alimenter votre ordinateur via un réseau Ethernet câblé (notez que cette fonctionnalité doit être activée sur votre ordinateur , et s'il est défini par défaut sur dépend de votre BIOS).

66
Matija Nalis

Edit: oui ça peut se faire. Comme le fait remarquer la grande réponse de Majita Nalis, les systèmes modernes ont une fonction intégrée qui vous permet de définir une "alarme" de démarrage à partir du logiciel.

Un scénario qui pourrait également être réaliste est la persistance du malware sur un autre appareil. Supposons que votre routeur possède des informations d'identification par défaut ou une vulnérabilité, le malware pourrait se propager. Quelqu'un pourrait alors allumer votre machine si le réveil sur réseau local était activé.

Mais après avoir vérifié WoL et RTC réveil, vous n'êtes toujours pas complètement sûr. La plupart des logiciels malveillants s'exécuteront dans l'anneau 3, et si vous n'avez vraiment pas de chance dans l'anneau 0 en tant que module de noyau ou pilote système. Ils ne fonctionnent pas tous les deux lorsque le système est réellement éteint et si aucune horloge n'a été réglée, ils ne peuvent fondamentalement plus exercer de contrôle sur la machine.

Il existe cependant des modes d'exécution sous l'anneau 0, tels que SMM et d'autres micrologiciels, qui font la gestion de l'alimentation. Cependant, les logiciels malveillants abusant de cela sont extrêmement rares, le seul exemple dans la nature que je pourrais nommer est le malware NSA nom de code DEITYBOUNCE et le LoJax probablement répandu par Fancy Bear.

Voir Forests excellente réponse sur la façon dont cela peut se produire.

https://security.stackexchange.com/a/180107/121894

Avez-vous des informations sur les logiciels malveillants tels qu'un hachage ou un nom de famille? Cela permettrait une réponse plus détaillée.

20
J.A.K.

Le paquet WOL a une structure particulière; N'est pas dit qu'il pourrait être envoyé sur Internet ou acheminé sur intranet pour atteindre la cible. Un ordinateur est éteint lorsque le câble d'alimentation est débranché ou est connecté mais éteint. Le RTC est sympa, mais je suppose qu'il ne peut être utilisé qu'en mode veille. À mon avis, certaines fonctionnalités du micrologiciel SMM, si elles ne sont pas correctement configurées et certaines désactivées par défaut, pourraient être potentiellement dangereux pour la gestion à distance. Le meilleur choix est de débrancher le câble Internet ou de désactiver la carte sans fil jusqu'à ce que vous ne soyez pas sûr d'avoir désinfecté votre PC par l'infection par le virus.

1
LoryOne