Ho un problema, come posso rimuovere un malware MBR persistente? probabilmente il malware si nasconde nel settore dell'HDD a cui un SO non potrebbe nemmeno accedere. Ho già provato a formattarlo e rimuovere tutte le partizioni pulite. E anche provato a cambiare il tipo di SO da Windows a Linux. È stato infettato da un PC dell'ufficio. I sintomi sono quando sono online, il mouse si muove da solo probabilmente un tipo RAT. Ho cercato di analizzare il traffico ma non ho visto alcuno (ad esempio un po 'come un traffico di Microsoft Security Update).
Aggiornamento:
My Malware Analyzation:
- probabilmente è molto più al di là dei rootkit OS in qualche modo come BluePill (firmware rootkit) ma non dipende dall'hardware
- si adatta al sistema operativo in uso (inietta e scarica su un tipo specifico di malware per diversi sistemi operativi)
- ascolta attivamente e invia connessioni in uscita (non può essere bloccato dal firewall) a basso livello
- e anche il fatto che so che è un malware mbr perché, il mio pc dell'ufficio ha un diverso tipo di scheda (logicamente non è un po 'malware bios dove dipende dall'hardware e principalmente questo tipo di malware attacca solo le schede madri intel) usando amd sul mio laptop
- un po 'come un malware che è stato recentemente demoato a DEFCON (ha dimenticato il nome di malware) ma questo è un tipo di malware bios che utilizza openbios + seabios. È assolutamente inosservabile un tipo di malware di attacco di basso livello.
- e sul malware che mi infetta sembra --- si incorpora su un disco flash rimovibile su firmware di basso livello in modo da poter infettare altri sistemi.
Aggiornamento:
Ecco alcuni sintomi perché so che si tratta di un malware:
- Alta visibilità sull'utilizzo della rete anche se nessun processo accede a nessuna connessione di rete. (già controllare il processo tramite netstat e process explorer).
- Controlla le somme md5 dei file prima e dopo è cambiato. Probabilmente il malware si diffonde e cambia tutto come un root kit.
So che i sintomi sono pochissimi perché li ho controllati e osservati di recente. E il malware è completamente inosservabile. Difficile distinguere tra un processo normale. Consumo di processo di memoria molto basso. E presumo che si nasconda anche su RAM volatile. Ecco perché ogni volta che provo a formattare l'HDD sarà ancora lì dopo l'avvio.
Informazioni aggiuntive sul perché non contatterò il mio datore di lavoro per quanto riguarda questo perché la nostra azienda ha una regola che non mette mai alcun dispositivo rimovibile su nessuna delle nostre workstation.
E se pensi che questo sia un tipo di malware avanzato probabilmente stai pensando a come negli anni '90 c'è già un divario tra i progetti open source e quelli basati su fonti chiuse. Probabilmente stai solo osservando alcuni progetti di malware open source. Proprio come Microsoft, prima che Google avesse applicato un motore di rendering 3d su Chrome. Penso che ci sia una differenza di 10-15 anni in un progetto di ricerca open source e closed source. E non solo i militari e il governo potrebbero implementarlo.