Um USB desmontado pode ser infectado pelo meu malware?

Navegue suas respostas
0

Ontem, eu fui em um site escuro e assustador, cujo js congelou meu system/firefox (Ubuntu 14.04 atualizado, o Firefox 37.0.1 atualizado). Agora eu tentei, no mesmo sistema, encontrar algum malware com: 

sudo chkrootkit

e 

sudo rkhunter --check

mostrando apenas os falsos positivos padrão.

Eu sei que é recomendado fazer isso de um liveCD ou liveUSB, dificultando a ocultação do malware. Eu tenho um liveUSB SystemRescueCD , mas não estou ciente de como conseguir isso. Tenho certeza de que precisarei montar o "dispositivo infectado" para verificar, mas cada tutorial que encontrei acabou de mencionar to do the commands which I have posted above from a LiveUSB . Não como, e tenho certeza de que chkrootkit e rkhunter não podem verificar um sistema de arquivos sem montá-lo.

No entanto, agora estou no meu sistema possivelmente infectado com o LiveUSB conectado mas não montado. (Eu desativei o automount devido a várias razões)

Será que meu LiveUSB agora também está infectado, mesmo quando não está montado? Eu sei que o malware pode gravar no dispositivo mesmo sem montá-lo, mas isso destruiria totalmente o sistema de arquivos no USB. Onde posso procurar uma história de montagem, caso o malware não soubesse de mim? Eu sei, para isso ele precisaria da minha senha de usuário, mas quem disse que o malware não registrou meu teclado ao executar um comando sudo?

    
por Mike 11.04.2015 / 21:16

1 resposta

1

Para responder à pergunta atual:

Sim, um software pode gravar diretamente em um dispositivo, mas ao contrário do que você presume, isso não destrói um sistema de arquivos, pois o software também pode ser lido diretamente do sistema de arquivos. Se o software faz tudo certo, seria apenas como ler e escrever a maneira usual (indireta). Lembre-se que ele só precisa fazer o que seu sistema faz o tempo todo. Além disso, o software não precisa se preocupar com privilégios gerenciados pelo sistema de arquivos.

No entanto - e aí vem a boa mensagem - ler ou gravar diretamente requer acesso de leitura / gravação aos arquivos do dispositivo, por exemplo, /dev/sdb . Esse acesso é concedido apenas ao superusuário.

Você mesmo pode tentar fazer isso inserindo 

dd if=/dev/sda bs=32 count=1

em um terminal. /dev/sda é o seu primeiro disco rígido, substitua-o por qualquer que seja o seu dispositivo USB (provavelmente /dev/sdb ) se você quiser testá-lo e não seu disco rígido.

Você receberá 

dd: failed to open ‘/dev/sda’: Permission denied

como saída.

Se você fez isso com sudo ou como root, ele escreveria o primeiro byte de 32 de seu disco rígido / seu pendrive para o console.

No entanto, você deve estar ciente do fato de que usuários normais podem, de fato, montar dispositivos. Portanto, nenhum acesso direto ao dispositivo é necessário e um software mal-intencionado pode ler e gravar usando a maneira normal (indireta).

Você mesmo pode testar isso inserindo o comando 

mount /dev/sdb1 /some/directory/already/in/place

onde /dev/sdb1 é a primeira partição do seu stick USB.

    
por UTF-8 12.04.2015 / 00:34
O Windows 8.1 não reconhece o ubuntu 14.04 LTS [duplicado] instalando drivers no kubuntu sem internet