天下网吧 >> 网吧天地 >> 网吧行业 >> 网络追踪 >> 正文

拔掉网线/WiFi/蓝牙后,还能继续扩散的电脑病毒

2013-11-4T客邦佚名
:拔掉网线/WiFi/蓝牙后,还能继续扩散的电脑病毒

在拔掉网线、Wi-Fi、蓝牙之后,竟然还有电脑病毒可以继续扩散,听起来就像是科幻小说的故事一样。但是,这种病毒已经在三年前就出现了,而且资安专家到现在还无法确认到底要如何清除它,以及它真正的扩散原因是什么。

安全专家,同时也是Pwn2Own骇客挑战赛的创办人Dragos Ruiu,前几天在接受Ars Technica访问的时候,透露了一件这三年来一直困扰他的怪事。事情离奇的程度,对于任何关心资讯安全的人听起来,简直就像僵尸电影一样恐怖离奇。

▲Dragos Ruiu

三年前,Dragos Ruiu在他的实验室里头,才刚刚帮他的MacBook Air更新了OS X,之后没多久他就注意到一件奇怪的事情:他的笔电在自动更新BIOS。然后当他尝试要从光盘启动电脑的时候,被电脑拒绝了。他同时也发现他的电脑会自动删除某些资料,并且在没有任何提示的情况下,把一些原本弄好的设定给恢复回来。事情虽然古怪,但当时因为时间已经很晚了,加上他想或许是新装好的系统哪里步骤出了错,也不以为意,就去睡觉了。

结果在接下来的几个月,发生在Dragos Ruiu身上的事情简直就是科幻恐怖片的情节:他实验室中一台执行Open BSD系统的电脑也开始自作主张地删除资料,以及自动调整设定;他发现网络内有些资料通过IPv6在传输数据,甚至是从那些原本已经把电脑的IPv6协定关闭的电脑;最离奇的是,这些被感染的机器,就算是拔除了网线、移掉了Wi- Fi、蓝牙,依然还是能感染到实验室中其他的电脑,而且还横跨了Windows、Linux等不同的平台。

▲这种病毒顽强的程度就跟僵尸一样。

最后,Dragos Ruiu做了所有资安专家都会做的事情:他将实验室中所有的系统都重新清除再安装。但是,在接下来的这三年间,这个感染依然断断续续地发生,就像是细菌增生一样。他只好一遍又一遍地重复这样的动作。

病毒最明显的征兆是被感染的电脑都无法从光碟机开机启动,不过为了侦测出更多关于病毒的行为,他采用了一些类似Process Monitor的工具,用来观察病毒的行为。由这里他发现更惊人的是,他采用了「airgaps」的设计来隔绝受感染以及可能受感染的电脑,「airgaps」的意思就是将这些电脑完整地隔绝在实验室的网络之外,不管是有线或是无线的,就算采取这样的措施,这些病毒似乎还有自我治疗的能力。

airgaps是用来将电脑隔绝一切接触外界环境的程序。

“有一台受感染的电脑采用了airgaps的措施,我们重装了他的BIOS,全新没有任何资料的硬盘也刚装上去,通过原版Windows安装光盘装上了系统。”Ruiu对采访的记者表示,“没有多久,当我们要安装我们的Process Monitor工具时,我们发现这台电脑的registry编辑器被disabled了。这时我们不由得想:嘿,这真是太不科学了!这台电脑怎么可能去攻击我们正准备要用来攻击他的程式?我的意思是说,这是一台已经采用过airgaps隔绝的机器,然后就当我们正准备通过registry编辑器去搜寻病毒特征的时候,所有的搜寻功能就被禁止了!”

遇到这种事,就连资安专家Ruiu也无计可施。他在接下来的两周在他的Twitter、Facebook、Google+上都描述了他对于这个病毒的调查,而这也引起世界上其他的顶尖资安专家的注意。

Ruiu认为这个病毒是通过USB装置感染了电脑的底层硬件,攻击了电脑的BIOS、UEFI,也可能感染了其他的韧件装置。这个病毒可以攻击多种的平台,逃避一般的侦测方式,以及从各种企图毁灭它的行为中存活下来。其中,最困扰Ruiu的一点是,当所有的网络都被隔绝之后,这个病毒到底是用什么方式扩散传染给其他的电脑?

但是随着这个事件继续的侦察下去,Ruiu在一次意外中发现,随着他移除了电脑内部的扬声器以及麦克风之后,电脑的感染状况竟然奇迹似停止了。在他尝试了几台电脑都得到这样的结果之后,他判断,病毒是利用扬声器发出一种人耳侦测不到的高频声音,而通过另一台电脑的麦克风接收到这个高频,以此来进行病毒的扩散方式。

是网络谣言吗

一开始,很多资讯媒体都怀疑这则离奇的故事是网络谣言、资讯界的乡野传说,或是只是一些对病毒不了解的人的误解。而且,Ruiu也询问了好几个资安专家,没有一个人发现过类似的病毒。

虽然Ruiu身为资安领域的专家,以及黑客挑战赛的创办人,他毫无疑问当然是黑客攻击的目标。但是他并没有比其他上千位的同领域专家更值得成为独立的目标,而至今这个案例三年来只有发生在他身上,也让人感到怀疑。

不过,也有很多安全专家站在他这一边。网络犯罪专家Alex Stamos,就在他的Twitter上写着“所有在资安圈子的朋友,都该Follow @dragosr,并且看他怎么分析#badBIOS”。

Jeff Moss,美国知名Hacker,「Defcon and Blackhat security conferences」创办者,同时也是美国国土安全局资安顾问。他也对这件事情感到关切:“毫无疑问的,这是一件很严重的事情。”

▲Jeff Moss

资安学者Arrigo Triulzi则在接受采访时表示:“Dragos绝对是一个值得信任的朋友,我不怀疑他讲的内容的真实性。他所描述的内容在科幻小说中并不特别,只是我们没有在现实生活中见过而已。”

关于BadBIOS该知道的4+1件事情

根据heavy tech整理的后续发展,关于被Ruiu称为BadBios的这个病毒,有4件事情(原文是5件,但是第5件可以略过不提)你应该要知道,最后我们再加上一个持不同意见的BIOS专家的观点连结:

1.病毒可能是通过高频或是高超频声波传递

一般人觉得最感兴趣,或是最惊悚的部分,就是病毒可以通过声波来传递,实现自我修复的功能,原理简图如下:

2.有些人宣称这在物理上不科学,他们错了。

正如上面这位Eri

本文来源:T客邦 作者:佚名

相关文章
没有相关文章
声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行