¿Puede un hacker controlar mi computadora portátil con Windows 10 a través de un virus BIOS, como mover el cursor, cerrar programas, seleccionar carpetas, etc.? ¿Cómo puedo deshacerme de esto?

Permítanme refutar todas las publicaciones de “no hay tal cosa como el virus BIOS”, y pedirle que salude a mi pequeño amigo: Mebromi: el primer rootkit de BIOS en la naturaleza

Esto apareció en 2011, inicialmente en China, apuntando al BIOS de premio utilizado en una gran cantidad de placas base. Una vez a bordo, evita que vuelva a actualizar el BIOS, mintiéndole y diciéndole que lo hizo (incluso actualizando el número de serie y el código de versión para que coincida), lo que hace que sea realmente imposible de eliminar. Literalmente, debe tirar la placa base si han sido infectadas.

Tuve mi propio encuentro cercano y personal en un ataque persistente avanzado dirigido hace algunos años. Un administrador de red que usó su computadora portátil de trabajo después de horas en una cafetería local recogió malware de un ataque de hombre en el medio, que descargó Mebromi, que había sido modificado para llamar a casa y descargar una variante Stuxnet que también llevaba Mebromi.

Cuando se unió a la red corporativa al día siguiente, infectó todo. Portátiles, computadoras de escritorio, servidores, impresoras, incluso las cámaras de seguridad basadas en LINUX. Pasamos mucho tiempo tratando de descubrir cómo limpiar todo, y finalmente tuvimos que verter literalmente todo el lote.

Las fuentes de Mebromi están disponibles, es bastante fácil de modificar para hacer lo que quiera: instalar keyloggers, servir como bases para una implementación más grande, literalmente cualquier cosa. Instalarlo es un poco más difícil ahora, ya que una gran cantidad de AV está alerta, pero hay variantes que no se detectan, ya que es bastante fácil crear caídas de código con diferentes firmas.

Esta tampoco era la primera vez. En 1998, el ataque CIH / Chernobyl también golpeó el BIOS, pero lo borró en lugar de reprogramarlo. Sí requería acceso de supervisor, pero de todos modos eso era trivial en Win9x, así que … De todos modos, alrededor de 60 millones de PC se vieron afectados por eso, con diversos grados de daño.

Entonces, ¿cada vez que alguien te dice “no es posible” en algún tipo de pirateo? Solo deja de escuchar. Están equivocados Puede que no lo sepan, pero confía en mí, si es programable, es pirateable.

Sí, esto es posible, pero no es lo que te está pasando. Usar un virus BIOS para controlar el mouse y el teclado de su computadora es un poco como usar un escuadrón de infantes de marina con obuses y apoyo aéreo cercano para robar sus cubiertos. ¿Posible? Si. Exótica, ridícula exageración? Usted apuesta.

Si alguien ha tomado el control de su computadora y usted no es una instalación gubernamental o una planta de energía nuclear segura, no usaron un virus BIOS, solo usaron uno de docenas de programas de acceso remoto, como TeamViewer o el infierno, el que está integrado en Windows.

Usted resuelve el problema averiguando qué software de acceso remoto está instalado en su computadora y eliminándolo.

Los rootkits pueden ser buenos y podemos agradecer a Sony Entertainment por el desarrollo de ellos. Los rootkits se pueden desarrollar para localizar computadoras portátiles, teléfonos y tabletas robados. de forma persistente, pueden reinstalarse una y otra vez incluso después de cambiar el disco duro para incluso actualizar / recargar el sistema operativo. Persistentemente, el desarrollador puede habilitar políticas para encriptar persistentemente la unidad para bloquear al ladrón. Computrace Absolute es una compañía increíble cuando se trata de rastrear activos comerciales. En las computadoras portátiles de negocios podemos bloquearlo para que el ladrón se sienta tan frustrado que lo vendan o queden atrapados haciéndolo.

Entonces, si el rootkit se usa maliciosamente, entonces sí, un virus troyano remoto se puede instalar de manera constante y persistente cada 15 minutos.

Qué puedes hacer.

  • Actualice su BIOS / vuelva a actualizarlo con una versión existente o vuelva a la versión anterior si su BIOS lo permite.
  • Realice una desinfección de datos DoD 5220.22-M en el HDD existente y compre una nueva placa base para una persistencia extrema.
  • Haga una actualización de otoño 1058 x Umbral 2 de Windows 10PE x64 de Gandalf y use Malewarebytes Anti-Rootkit BETA – Escáner y removedor de rootkits gratuito
  • Utilice un USB / CD de Linux en vivo o simplemente instale Ubuntu
  • Ejecute HitmanPro, JRT, ccleaner y adwcleaner

Buena suerte

Lo que usted describe no es un virus BIOS. Es solo alguien con acceso remoto, lo que podría suceder de muchas maneras. ¿No sabes dónde leíste sobre el virus BIOS, quizás aquí? Conoce a “badBIOS”, el misterioso malware para Mac y PC que salta los espacios de aire

pero los que se sabe que existen son extremadamente raros, se usan principalmente en espionaje, y las posibilidades de que tengas uno son MUY escasas.

Si lo que describe es válido, una simple mirada a los procesos en ejecución debería encontrar fácilmente la instalación del software culpable. Utilizo Teamviewer para hacer esas cosas de forma remota todos los días de mi vida. Hay varios otros clientes populares de acceso remoto. VNC, Logmein, GoToMyPC, etc.

El abuelo de mi novia obtuvo este problema no hace mucho tiempo. Un hacker lo llamó por teléfono, le dijo que tenía un virus y le habló sobre el proceso de instalar un paquete de software de acceso remoto y darle acceso al hacker a su computadora.

Eso sí, antes de la llamada telefónica, había sido evaluado previamente de varias maneras. La llamada telefónica es el punto de mayor inversión en horas humanas, por lo que debe asegurarse de que solo está recibiendo personas crédulos.

Cuando recibes esos correos electrónicos de phishing que están realmente mal formateados y tienen errores ortográficos por todos lados y afirman ser “del gobierno” y amenazan con “iniciar un proceso legal” algo como “IRS” y piensas “wow, esto es terrible, ¿Cómo se enamora alguien de esto?

Ese es realmente el punto. Nadie debería, así que si alguien lo hace, caerán por cualquier cosa.

El punto es, sí, es técnicamente posible hacer esto, pero la economía no se alinea. Si desea robar el dinero de alguien (como alguien me lo hizo recientemente, tyvm FDIC insurance), la forma más fácil es obtener un poco de su información personal y hacer una llamada telefónica al banco real.

“Hola, estoy muy bien. Sí, mi número de seguro social es ### – ## – #### ” (solo los últimos cuatro dígitos de su social son aleatorios, y esas son las agencias de cuatro dígitos que se muestran públicamente. Por esta razón, técnicamente las agencias gubernamentales no son ya se les permite usar números de seguro social para identificación. Todavía lo hacen).

“Sí, mi cumpleaños es suchandsuch” (derivado del registro de votantes)

“El apellido de soltera de mi madre es xxxx” (¿recuerdas que una vez que estableciste una “pregunta de seguridad” para tu cuenta en ese sitio web pornográfico? No están tratando de ayudarte a proteger tu cuenta porno f * cking).

“Mi dirección para esta tarjeta es xxxx” (si tiene la opción de manejar el pago a través de un proveedor externo como Paypal, generalmente es una buena idea, porque de lo contrario cada vez que proporcione esta información, está tirando los dados)

Hackear computadoras es difícil, solo vale la pena en conjunto y solo a través de Windows, lo cual es intencionalmente inseguro.

Sin embargo, piratear personas … es increíblemente fácil.

Al final de dicha conversación, “usted” tiene un nuevo número PIN y mucho menos dinero en el banco. El banco sopesa la frecuencia de estos sucesos contra la molestia que sienten los clientes cuando se les pide que proporcionen una muestra de sangre cada vez que hacen una llamada telefónica, y ajusta la política en consecuencia.

#edit – casi se me olvida:

Usted se deshace de esto reformateando su computadora. En este punto, la persona ha tenido acceso ilimitado a su máquina y muchos virus modernos de Windows pueden sobrevivir a la reinstalación del sistema operativo. No te arriesgues, simplemente frótalo.

Si tiene imágenes / documentos preciosos que necesita conservar, use un Live CD de Linux para acceder a la unidad, escanee los archivos con antivirus * del entorno Linux * y retírelos a una unidad flash * del entorno Linux *.

Luego me sentaría en esa unidad flash durante un año y luego volvería a escanearlo con un antivirus actualizado después de ese año antes de considerar la unidad flash “limpia”.

Hay muchos componentes en su computadora que usan firmware. Casi cualquiera de ellos podría usarse para mantener un control persistente, en teoría. En su mayoría, están hechos en China por personas en las que generalmente no confiamos, pero confiamos en ellos por definición para las herramientas que utilizamos para almacenar y manipular nuestros datos más íntimos y / o importantes.

Siempre tenga copias de seguridad para estar preparado para limpiar la máquina si sospecha. Aprende a limpiar un disco duro con dd. Ejecute la prueba de memoria para limpiar la memoria. Si está realmente convencido de que está en el BIOS, compre un quemador de chips y asegúrese de que su BIOS esté en un zócalo extraíble. Aprenda a actualizar un nuevo BIOS sin usar el hardware de la placa base. Reinstalar. Si aún sospechas, toma un cóctel. Vive con él o tira el hardware contra la pared.

Hay al menos una excepción a la respuesta “No”. Lenovo una vez envió algunos modelos con malware instalado por BIOS [1].

Si tuviera una de esas máquinas y alguien estuviera en la misma red local con usted y explotara ese software, entonces tendría un reclamo legítimo por ser atacado a través de un virus BIOS.

Notas al pie

[1] ATRAPADO: Lenovo inserta crapware inamovible en las computadoras portátiles con Windows, ocultándolo en el BIOS

Lo que estás describiendo no es un virus BIOS.

Un virus BIOS requeriría acceso a su hardware.

Es simplemente (si lo hay) un pirata informático que puede controlar su computadora de forma remota gracias a un troyano (del tipo de herramienta de administración remota RAT) o un exploit personalizado que permite establecer un shell de conexión inversa con su computadora.

Sé cómo hacer algo así y hacer que aparezcan mensajes en la pantalla o reproducir sonido, etc.

Limpie su computadora inmediatamente después de desconectarla de Internet lo antes posible.

Vaya a Modo seguro y use un escáner antivirus en línea para verificar su computadora (por ejemplo, Free Virus Scan | Online Virus Scan de ESET) y / o inicie su computadora desde esta herramienta y úsela para limpiarla.

Si su computadora portátil no es muy antigua (por ejemplo, tiene menos de 5 años), la posibilidad de que esto ocurra es extremadamente baja.

El nuevo hardware de la computadora admite UEFI (versión más nueva de BIOS) y el TPM (Trusted Platform Module). Windows 10 funciona junto con TPM (nivel de hardware) para verificar la integridad de las instrucciones de software de nivel de BIOS y detectar virus de nivel de BIOS y rootkit.

Módulo de plataforma confiable – Wikipedia

Si ha sido infectado por el virus BIOS … su Windows 10 probablemente lo detectará a través de TPM y NO se iniciará en absoluto. Simplemente rescatará por completo, por lo que claramente lo sabrá si sucedió. El arranque seguro de TPM NO permitirá que se ejecute ningún software no firmado / no autorizado entre el hardware y la capa de arranque del sistema operativo.

Puede verificar su soporte de hardware de TPM, ejecutando msinfo.exe (escriba “msinfo” en el cuadro de búsqueda de Cortana) y busque “Estado de arranque seguro” para ver si está activado. Probablemente esté ENCENDIDO.

Si está infectado por otro virus (no a nivel de rootkit / BIOS), puede deshacerse de él fácilmente reinstalando Windows 10.

Si sospecha que alguien fuera de su red tiene acceso a su escritorio, entonces el enfoque más simple es verificar si el escritorio remoto de Windows está encendido y apagarlo. La otra opción es ir a la configuración del cortafuegos de la red y luego apagarlo para los entrantes y encenderlo para los salientes. En realidad, no es necesario desinstalar el software de acceso remoto, ya que la mayoría de los sistemas Windows más nuevos vienen preinstalados. Puede que lo necesites más tarde. Recuerde reiniciar su PC. Si aún quiere ser un perfeccionista, puede actualizar el firewall en su enrutador para bloquear la entrada y permitir la salida. Esta podría ser la solución.

Es posible y ni siquiera requiere ese nivel de acceso. Eso se llama control remoto. Si tiene Windows 10 Professional, puede hacerlo de manera legítima.

Sin embargo, seguramente no querrás que alguien más se haga cargo de tu computadora. Para que alguien obtenga acceso de eliminación en su computadora, se tendría que instalar un programa malicioso.

Los programas maliciosos a menudo son detectados por el software Anti-Malware. Entonces, un Anti-Malware debería poder deshacerse del hacker. Yo personalmente uso MalwareFox para que puedas seguir con eso por ahora.

Obtengo mis herramientas de un tercero y el pago se realiza en la cuenta de desarrollador de spyware con una copia del recibo que se me envía para su confirmación.

El proceso que usaré para obtener acceso al teléfono del objetivo es instalar remotamente un spyware en el dispositivo móvil del objetivo. ninguna aplicación de protección antimalware / antivirus / a en el dispositivo del objetivo detectará el spyware porque el error se enviará desde el servidor del proveedor de telefonía móvil del objetivo.

El error (spyware) es un tipo de software que instalaré de forma remota en el teléfono.

El programa espía se obtendrá de mi desarrollador de herramientas de piratería en la web profunda y costará $ 180 configurar el portal para usted costará $ 220 y mi cargo por servicio costará $ 150. esto hará un total de $ 550. Se cobrará una suma de $ 300 para comenzar el trabajo, mientras que los $ 250 restantes cuando termine el trabajo