新病毒利用“超声波”绕过安全软件

softkiller

.

出自 http://weibo.com/micropoint  12月8日：
   三年前国外出现神秘跨平台病毒"badbios"，利用扬声器和麦克风在计算机之间进行高频传输，拔掉网线/WiFi/蓝牙亦无效，今已实验证实，能利用听不见的音频信号通信的恶意程序原型
   PDF：http://www.jocm.us/uploadfile/2013/1125/20131125103803901.pdf

转自 卡巴斯基实验室微博 12月13日 ：
     “新病毒利用超声波攻击计算机”（原标题现已修改）
     德国计算机科学家研发出能利用听不见的音频信号通信的恶意程序原型。利用听不见的声音，恶意程序将能在感染机器不联网的情况下秘密传播按键和其它敏感数据。概念验证软件利用了标准计算机配备的扬声器和麦克风，通过高频通信，研究人员设法将密码和其它数据传输到19.7米外。

回到三年前：
拔掉网线/WiFi/蓝牙后，还能继续扩散的电脑病毒：

在拔掉网线、Wi-Fi、蓝牙之后，竟然还有电脑病毒可以继续扩散？听起来就像是科幻小说的故事一样。但是，这种病毒已经在三年前就出现了，而且资安专家到现在还无法确认到底要如何清除它，以及它真正的扩散原因是什么。

安全专家，同时也是Pwn2Own骇客挑战赛的创办人Dragos Ruiu，前几天在接受Ars Technica访问的时候，透露了一件这三年来一直困扰他的怪事。事情离奇的程度，对于任何关心资讯安全的人听起来，简直就像僵尸电影一样恐怖离奇。

三年前，Dragos Ruiu在他的实验室里头，才刚刚帮他的MacBook Air更新了OS X，之后没多久他就注意到一件奇怪的事情：他的笔电在自动更新BIOS。然后当他尝试要从光盘启动电脑的时候，被电脑拒绝了。他同时也发现他的电脑会自动删除某些资料，并且在没有任何提示的情况下，把一些原本弄好的设定给恢复回来。事情虽然古怪，但当时因为时间已经很晚了，加上他想或许是新装好的系统哪里步骤出了错，也不以为意，就去睡觉了。

结果在接下来的几个月，发生在Dragos Ruiu身上的事情简直就是科幻恐怖片的情节：他实验室中一台执行Open BSD系统的电脑也开始自作主张地删除资料，以及自动调整设定；他发现网络内有些资料通过IPv6在传输数据，甚至是从那些原本已经把电脑的IPv6协定关闭的电脑；最离奇的是，这些被感染的机器，就算是拔除了网线、移掉了Wi- Fi、蓝牙，依然还是能感染到实验室中其他的电脑，而且还横跨了Windows、Linux等不同的平台。

这种病毒顽强的程度就跟僵尸一样。最后，Dragos Ruiu做了所有资安专家都会做的事情：他将实验室中所有的系统都重新清除再安装。但是，在接下来的这三年间，这个感染依然断断续续地发生，就像是细菌增生一样。他只好一遍又一遍地重复这样的动作。
  病毒最明显的征兆是被感染的电脑都无法从光碟机开机启动，不过为了侦测出更多关于病毒的行为，他采用了一些类似Process Monitor的工具，用来观察病毒的行为。由这里他发现更惊人的是，他采用了「airgaps」的设计来隔绝受感染以及可能受感染的电脑，「airgaps」的意思就是将这些电脑完整地隔绝在实验室的网络之外，不管是有线或是无线的，就算采取这样的措施，这些病毒似乎还有自我治疗的能力。

“有一台受感染的电脑采用了airgaps的措施（airgaps是用来将电脑隔绝一切接触外界环境的程序。），我们重装了他的BIOS，全新没有任何资料的硬盘也刚装上去，通过原版Windows安装光盘装上了系统。”Ruiu对采访的记者表示，“没有多久，当我们要安装我们的Process Monitor工具时，我们发现这台电脑的registry编辑器被disabled了。这时我们不由得想：嘿，这真是太不科学了！这台电脑怎么可能去攻击我们正准备要用来攻击他的程式？我的意思是说，这是一台已经采用过airgaps隔绝的机器，然后就当我们正准备通过registry编辑器去搜寻病毒特征的时候，所有的搜寻功能就被禁止了！”


遇到这种事，就连资安专家Ruiu也无计可施。他在接下来的两周在他的Twitter、Facebook、Google+上都描述了他对于这个病毒的调查，而这也引起世界上其他的顶尖资安专家的注意。

Ruiu认为这个病毒是通过USB装置感染了电脑的底层硬件，攻击了电脑的BIOS、UEFI，也可能感染了其他的韧件装置。这个病毒可以攻击多种的平台，逃避一般的侦测方式，以及从各种企图毁灭它的行为中存活下来。其中，最困扰Ruiu的一点是，当所有的网络都被隔绝之后，这个病毒到底是用什么方式扩散传染给其他的电脑？

但是随着这个事件继续的侦察下去，Ruiu在一次意外中发现，随着他移除了电脑内部的扬声器以及麦克风之后，电脑的感染状况竟然奇迹似停止了。在他尝试了几台电脑都得到这样的结果之后，他判断，病毒是利用扬声器发出一种人耳侦测不到的高频声音，而通过另一台电脑的麦克风接收到这个高频，以此来进行病毒的扩散方式。

是网络谣言吗？

一开始，很多资讯媒体都怀疑这则离奇的故事是网络谣言、资讯界的乡野传说，或是只是一些对病毒不了解的人的误解。而且，Ruiu也询问了好几个资安专家，没有一个人发现过类似的病毒。

虽然Ruiu身为资安领域的专家，以及黑客挑战赛的创办人，他毫无疑问当然是黑客攻击的目标。但是他并没有比其他上千位的同领域专家更值得成为独立的目标，而至今这个案例三年来只有发生在他身上，也让人感到怀疑。

不过，也有很多安全专家站在他这一边。网络犯罪专家Alex Stamos，就在他的Twitter上写着“所有在资安圈子的朋友，都该Follow @dragosr，并且看他怎么分析#badBIOS”。

Jeff Moss，美国知名Hacker，「Defcon and Blackhat security conferences」创办者，同时也是美国国土安全局资安顾问。他也对这件事情感到关切：“毫无疑问的，这是一件很严重的事情。”

有些人宣称这在物理上不科学，他们错了。


正如上面这位Eric Hill所说，他不相信有病毒能够在airgap的隔绝之下，还能够散布的。任何读过资讯相关科系的学生应该都有这种根深蒂固的印象，只要采取了这种隔绝，在物理上病毒就不可能传布的出去。

但事实上他错了，我们以前学的资安理论关于airgap的部分也错了。利用声波来传递电脑资料，原理就类似早期Apple II时代的磁带机，将资料记录在录音带上，如果你把磁带拿去一般的播放器播放，会传出吱吱嘎嘎的声音，那就是资料的声音。

资料通过声音来传递，在理论上是可行的。但是因为空气中存在太多的干扰，随便有其他的声音就会破坏资料的正确性，所以必须要反覆传递同样的资料用来纠错，传输率会变得相当慢。但理论上的确可行。至于利用超高频来传递资料，受到的干扰应该更少。

资安公司Errata Security的CEO--Rob Graham表示：根据Dragos在报告中所描述的所有事情，其实并非不能做到的。如果给我一年的时间，我想我可以写出一个如他所描述的「badBios」病毒所能做到的事情的病毒，通过超高频声波来传递资料，其实真的不是一件难事。

ksss5566

我感觉到了什么叫恐怖

生命在于运动

看看

wqcaokeyinwq

声波病毒高级货，真出来估计杀软都得挂

a445441

这种病毒杀软拦截不了的   

jefffire

电脑的麦克是一直开启的？

Miostartos

其实我就好奇一件事。。
这玩意是怎么跨平台传播的

Q1628393554

其实我在想一个问题，扬声器和麦克风是否能支持到病毒所需要的频率和其他性能要求。我破耳机的麦，说明书上高频部分的响应曲线严重缺陷。低端设备是不是更安全？

方鸿渐

如果台式机没有音箱的话

asdx145266

我想说的是，微点会杀吗，主动防御。。。。