Tengo un problema, ¿cómo elimino un malware MBR persistente? Probablemente el malware se oculte en el sector HDD al que un sistema operativo no podría acceder. Ya intenté formatearlo y eliminar limpie todas las particiones. Y también trató de cambiar el tipo de sistema operativo de Windows a Linux. Me infecté desde una PC de la oficina. Los síntomas son cada vez que estoy en línea, el mouse se mueve por sí mismo, probablemente un tipo de RAT. Intenté analizar el tráfico pero no pude verlo (por ejemplo, un poco como un tráfico de actualización de seguridad empujada de Microsoft).
Actualización:
Mi análisis de malware:
- probablemente sea mucho más allá de los rootkits del sistema operativo algo así como BluePill (firmware rootkit) pero no depende del hardware
- se adapta al sistema operativo que está utilizando (inyecta y descarga sobre un tipo de malware específico de Ethernet para diferentes sistemas operativos)
- escucha activamente y envía conexiones salientes (no puede ser bloqueado por un firewall) en niveles bajos
- y también el hecho de que sé que es un malware mbr porque mi PC de la oficina tiene un tipo diferente de placa (lógicamente no es un malware un poco bios donde depende del hardware y, en su mayoría, este tipo de malware solo ataca a las placas base de Intel) usando amd en mi computadora portátil
- algo así como un malware que se demostró recientemente en DEFCON (olvidó el nombre de malware) pero que es un tipo de malware de tipo bios que utiliza openbios + seabios. Es totalmente indetectable mucho tipo de malware de bajo nivel de ataque.
- y en el malware que me infecta parece que --- se incrusta en un disco flash extraíble en un firmware de bajo nivel para que pueda infectar otros sistemas.
Actualización:
Aquí hay algunos síntomas de por qué sé que es un malware:
- Gran parte del uso de la red, incluso ningún proceso está accediendo a ninguna conexión de red. (ya verifique el proceso a través de netstat y el explorador de procesos).
- Verifique las sumas de archivos md5 antes y después de que haya cambiado. Probablemente el malware se propague y cambie todo como un kit de raíz.
Sé que los síntomas son muy pocos porque recientemente lo he comprobado y observado. Y el malware es totalmente indetectable. Difícil distinguir entre un proceso normal. Muy bajo consumo de proceso de memoria. Y supongo que también se esconde también en la memoria RAM volátil. Es por eso que cada vez que intento formatear el disco duro, todavía estará allí después del arranque.
La información adicional por la que no me pondré en contacto con mi empleador es porque nuestra compañía tiene una regla que nunca coloca ningún dispositivo extraíble en ninguna de nuestras estaciones de trabajo.
Y si piensa que este es un tipo de malware avanzado, probablemente esté pensando en los 90, ya existe una brecha entre los proyectos de código abierto y los proyectos financiados por el código fuente. Probablemente solo estés observando algunos proyectos de código abierto de malware. Al igual que Microsoft, antes de que Google hubiera aplicado algún motor de renderizado 3D en Chrome. Creo que hay una diferencia de 10 a 15 años en un proyecto de investigación de código abierto y de código cerrado. Y no solo los militares y / o el gobierno podrían desplegar esto.