Ho un malware molto bizzarro di cui non riesco a liberarmi [chiuso]

-1

Ecco la mia storia dell'orrore che ho pensato di condividere per vedere se avessi qualche suggerimento e forse sarei interessato a ricercare il mio problema perché è molto affascinante. Se sei interessato a guardare il mio problema, sono felice di creare uno schermo condiviso. Se scoprirai gli exploit che questo malware usa probabilmente faresti 40k di bug bounty in cima al mio 1k.

Modifica: Questo potrebbe sembrare non plausibile, ma ti presenterei volentieri i miei amici che erano anche contagiati se ne hai bisogno se non mi credi.

Descrizione: Ho un malware molto bizzarro che ottengo su qualsiasi computer se riproduco una canzone da un computer infetto o apro la mia e-mail o addirittura accedo alla mia e-mail. Pulire l'unità non fa nulla. Sono andato al genio bar, geek squad e loro non hanno potuto fare a meno e ho speso migliaia di persone cercando di sistemarlo.

Ho installato diversi sistemi operativi Ubuntu, Windows e OS X su sistemi diversi e il malware è rimasto. Penso che quello che ho è rootkit che si trasforma in un kit di avvio non appena ho apportato un cambiamento significativo nel sistema operativo, come l'aggiornamento a una versione diversa. Su un PC desktop protettivo (probabilmente il migliore), dopo aver riavuto il malware ho provato il resto di fabbrica sul PC. Ciò che è stato bizzarro è dopo che il computer ha riavviato il computer ha detto "Una richiesta è stata fatta per cambiare le chiavi del firmware" nella schermata di avvio con lettere bianche e uno sfondo blu. Ho selezionato "no" tra le due scelte di sì o no. Questa era l'unica volta di tutti i molti computer che ho testato dopo il ripristino dei dati di fabbrica, il computer non aveva ancora i sintomi del malware dopo il reset. In genere, la qualità del suono, la qualità visiva e la velocità peggiorano dopo il ripristino effettivo del malware.

Ho attraversato vari computer e persino computer infetti degli amici in caso di incidente, quindi questo è diventato un problema davvero sconvolgente.

Per verificare se esiste realmente e che non sto solo inventando, ho testato i due principali metodi di infezione sui computer di Best Buy. Non appena ho riprodotto un file musicale creato da un sistema infetto su un sistema pulito, le cose sono diventate diverse sul sistema pulito. I computer divennero un po 'più lenti, il suono del computer divenne entrambi deformato e nitido. Si potrebbe dire distorto. Se hai effettuato l'accesso a un indirizzo email che ho utilizzato su un computer infetto, la stessa cosa è generalmente accaduta, ma in misura minore. Ho imparato che ho un rootkit chiamato Linux / Ebury sul mio computer principale, ma non posso provare se è correlato di sicuro. L'altra cosa bizzarra è la qualità del suono e il volume del computer, quindi cambia durante la settimana e sembra quasi un ciclo temporizzato. Non riesco a guardare film o altro su computer infetti perché il suono diventa così cattivo.

Sembra che questa cosa sia stata creata in un laboratorio perché l'unico malware simile che ho sentito parlare è Bad USB e un altro paio che sembra essere in grado di infettare qualsiasi sistema. Personalmente credo che il malware acceda al mio firmware sulla scheda madre e cambi le chiavi relative al suono durante tutto il giorno. Lo chiamo un "ciclo del suono". Il volume cambia in modo significativo e la qualità cambia leggermente durante la settimana. Se per esempio quando ho la mela completamente cancellata e reinstallato il mio mac, ciò che è interessante e significativo è che il Macbook rimane nello "stato sonoro" prima che io lo cancellassi. Il ciclo del suono sembra fermarsi e lo "stato del suono" diventa statico. Tuttavia, non appena eseguo una canzone o un film creato dal vecchio sistema o accedo alla mia e-mail, il ciclo continua di nuovo. Ho provato questo 5 volte per essere sicuro.

Potrei continuare a parlare delle mie ricerche e delle mie difficoltà, ma in realtà non so proprio cosa fare per risolvere questo problema se non quello di riuscire a ottenere un'identità completamente diversa con nuovi account e-mail e cosa no e lanciando i miei vecchi computer. Tuttavia sarebbe incredibilmente costoso e se dovessi perdere tempo e far tornare il malware, tutto sarebbe inutile. Devo trovare un modo per impedirlo al 100%.

    
posta BillTheMagnificient 28.12.2016 - 03:17
fonte

2 risposte

4

Le tue osservazioni non sono plausibili dal punto di vista tecnico.

Il tuo malware si diffonde tramite file audio. Il malware non può essere arbitrariamente "allegato" a un file. Piuttosto, un file audio dannoso funzionerebbe attivando una vulnerabilità non corretta in un programma di driver audio / lettore multimediale.

Il tuo malware infetta diversi sistemi operativi su macchine diverse. Non è plausibile che qualsiasi malware sia in grado di sfruttare software audio su tutti questi sistemi contemporaneamente ... e quindi attirare l'attenzione distorcendo il suono.

Potrebbero esserci interferenza elettromagnetica in gioco o semplicemente un malfunzionamento della scheda audio o dell'altoparlante.

    
risposta data 28.12.2016 - 03:44
fonte
2

Se si tratta di un bootkit e sta collegando il tuo IO, è necessario eseguirlo in una macchina virtuale su un sistema non infetto.

Fai una macchina pulita con una macchina virtuale Linux, scarica il file audio, collega un debugger al processo che carica il file audio, eseguilo e carica il file. Controlla cosa sta succedendo nei registri ecc.

Parli di effetti sui file audio che hai creato? Questo dovrebbe essere fatto dopo che il file è stato creato. È possibile utilizzare inotify su un file appena creato.

Se si tratta di un bootkit che aggancia l'IO potrebbe semplicemente distorcere il flusso audio in ingresso. Hai provato a inviare l'audio a un altoparlante bluetooth? Questo potrebbe aiutare a determinare se ha effetto sul sistema audio se l'audio del bluetooth rimane chiaro.

L'altra cosa sarebbe avere una copia di qualche file audio che non è stato infettato e controllare il contenuto spettrale con lo stesso file che si pensa sia stato infettato. Diff gli spettrogrammi.

Se si tratta di un virus reale, da quello che hai descritto con problemi di persistenza e firmware, è più probabile che il bootkit stia manipolando l'audio sotto il livello del kernel, piuttosto che infettare altre macchine tramite file audio. A meno che i file audio non siano stati scaricati su macchine diverse. Se le macchine infette hanno l'audio tramite dispositivo USB, è più probabile che si diffonda.

    
risposta data 28.12.2016 - 11:30
fonte

Leggi altre domande sui tag