¿Cómo elimino el virus disorderstatus.ru? ¿Prevenir la reinfección? Asegúrate de que no queda ningún rootkit (BIOS)?

3

Recientemente he tenido dos PC infectadas con disorderstatus.ru / differentia.ru, al conectar un dispositivo colgante infectado. De las búsquedas de Google, parece que se trata de un virus reciente, o al menos con una propagación reciente.

PC1 tiene Win Vista y PC2 tiene Win 8. Ambos tienen Avast, que detectó las infecciones.

En la PC1 (con las particiones C para SO / programas y D para los datos), recuperé una imagen Ghost anterior en la partición C. La Partición D se analizó con Avast y se informó que estaba limpia.

En PC2 (nuevamente con particiones C para SO / programas y D para datos), reinstalé el SO.

Mis dos pendrives (uno infectado y uno ... quizás también) fueron reformateados a FAT16 y FAT32, en un arranque de Linux desde un CD.

Además tengo un HD externo.

¿Hay alguna manera de saber con seguridad si la infección desaparece para siempre?

Mi preocupación se debe al hecho de que hay rootkits de BIOS y quizás otras bestias que son maestros del disfraz.

Apreciaría recibir información específica sobre la infección que recibí, además del posible comentario genérico que pueda aplicarse.

    
pregunta sancho.s 16.09.2015 - 17:05
fuente

3 respuestas

3

Nuke from Orbit (TM)

Reemplaza tu hardware no. Limpia y vuelve a instalar todo. Eso se encarga de cualquier rootkits de software.

Use una buena higiene general para prevenir la reinfección. (Por ejemplo, instale actualizaciones, solo instale desde fuentes confiables, ejecute antivirus. Deje un espacio en su red si tiene que hacerlo).

(Hardware) rootkits: no te preocupes.

La respuesta corta es: estos rootkits de hardware hechos a la medida son demasiado caros como para desperdiciarlos a usted oa la población en general.

También: defenderse de este tipo de ataques TAMBIÉN es muy costoso y engorroso. Te recomiendo que gastes tu presupuesto infosec en otro lugar primero.

Reflexiones generales

Los rootkits de hardware son de alta tecnología, espionaje del estado nacional, cosas espía.

Son valiosos para el atacante. Para continuar trabajando, deben usarse con moderación. Cada uso de estos tiene riesgo de detección para el atacante. Ahora esto significa: ningún estilo de escopeta "golpea a todos" ataques. Pero ataques muy específicos, dirigidos directamente.

Si eres un objetivo lo suficientemente valioso como para justificar el uso de una de estas cosas en ti, supongo que también deberás reemplazar tu hardware .

Si, por ejemplo, estás trabajando en investigación nuclear. Estoy pensando en ataques tipo Stuxnet en instalaciones nucleares de Irán aquí. Probablemente este no eres tú.

Lectura adicional:

Addendum: rootkits de hardware no hechos a medida.

respondido por el StackzOfZtuff 18.09.2015 - 12:53
fuente
1

He buscado información sobre el malware que describiste. Parece que Avast debería manejarlo sin problemas. Pero por si acaso están las instrucciones de eliminación .

Para verificar si hay rootkits en sus computadoras, le recomiendo que use una utilidad gratuita desarrollada por Kaspersky lab llamada TDSSKiller . Detecta y elimina algunos rootkits y bootkits muy extendidos.

También hay Kaspersky Virus Removal Tool . Detecta y elimina otros tipos de malware.

Herramientas muy útiles, realmente me salvaron varias veces.

Estoy seguro de que otros proveedores tienen herramientas similares, pero solo utilicé estas. Pero creo que nadie puede darle el 100% de seguridad de que su computadora no está infectada con un malware muy nuevo o muy posterior.

    
respondido por el Oleg 18.09.2015 - 12:23
fuente
0

Debo aceptar que Kaspersky o un antivirus similar es un programa que debe usarse primero. Sin embargo, no olvide la segunda solución de opción porque la mayoría de los últimos virus se propagan en un paquete con diferentes componentes como secuestradores de navegador, BHO, etc. En este caso, le recomendaría que intente Malwarebytes . Si no está dispuesto a instalar ningún software, utilice esta guía de eliminación para los desórdenes .

    
respondido por el Josh Ross 13.04.2016 - 13:20
fuente

Lea otras preguntas en las etiquetas