LINUX.ORG.RU
ФорумSecurity

RootKit Win&Linux через биос

 , ,


1

2

Всем доброго здравия. В общем такая ситуация я человечек новенький, как и пользователь Linux. Кароче заметил

Sep 25 08:06:34 kali kernel: [    0.000000] x86/fpu: Supporting XSAVE feature 0x002: 'SSE registers'
Sep 25 08:06:34 kali kernel: [    0.000000] x86/fpu: Enabled xstate features 0x3, context size is 576 bytes, using 'standard' format.
Sep 25 08:06:34 kali kernel: [    0.000000] signal: max sigframe size: 1520
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-provided physical RAM map:
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x0000000000000000-0x000000000009d3ff] usable
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x000000000009d400-0x000000000009ffff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000000e0000-0x00000000000fffff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x0000000000100000-0x000000001fffffff] usable
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x0000000020000000-0x00000000201fffff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x0000000020200000-0x0000000040003fff] usable
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x0000000040004000-0x0000000040004fff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x0000000040005000-0x000000009ffaffff] usable
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x000000009ffb0000-0x00000000a13affff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000a13b0000-0x00000000aa3befff] usable
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000aa3bf000-0x00000000aaebefff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000aaebf000-0x00000000aafbefff] ACPI NVS
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000aafbf000-0x00000000aaffefff] ACPI data
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000aafff000-0x00000000aaffffff] usable
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000ab000000-0x00000000af9fffff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000e0000000-0x00000000efffffff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000feb00000-0x00000000feb03fff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000fec00000-0x00000000fec00fff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000fed10000-0x00000000fed19fff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000fed1c000-0x00000000fed1ffff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000fee00000-0x00000000fee00fff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x00000000ffb80000-0x00000000ffffffff] reserved
Sep 25 08:06:34 kali kernel: [    0.000000] BIOS-e820: [mem 0x0000000100000000-0x000000024f5fffff] usable
Sep 25 08:06:34 kali kernel: [    0.000000] NX (Execute Disable) protection: active
Sep 25 08:06:34 kali kernel: [    0.000000] SMBIOS 2.7 present.
Sep 25 08:06:34 kali kernel: [    0.000000] DMI: Dell Inc. Inspiron 3521/0FXP6Y, BIOS A10 08/19/2013
Sep 25 08:06:34 kali kernel: [    0.000000] tsc: Fast TSC calibration using PIT
Sep 25 08:06:34 kali kernel: [    0.000000] tsc: Detected 1895.692 MHz processor
Sep 25 08:06:34 kali kernel: [    0.001005] e820: update [mem 0x00000000-0x00000fff] usable ==> reserved
Sep 25 08:06:34 kali kernel: [    0.001010] e820: remove [mem 0x000a0000-0x000fffff] usable
Sep 25 08:06:34 kali kernel: [    0.001021] last_pfn = 0x24f600 max_arch_pfn = 0x400000000
Sep 25 08:06:34 kali kernel: [    0.001126] x86/PAT: Configuration [0-7]: WB  WC  UC- UC  WB  WP  UC- WT  
Sep 25 08:06:34 kali kernel: [    0.001813] last_pfn = 0xab000 max_arch_pfn = 0x400000000
Sep 25 08:06:34 kali kernel: [    0.015978] found SMP MP-table at [mem 0x000fe1b0-0x000fe1bf]
Sep 25 08:06:34 kali kernel: [    0.016649] RAMDISK: [mem 0x2fe8d000-0x33f3dfff]

============================================================== Перерыл форум, понял что малварь завёлся через хром-(handle и прочие примочки разрабов) от туда в биос (код выше). Тварь не удаляется. На жестком диске не найти (значит динамический) всё что я делю перехватываеся, криптуется и отправляется. Малварь так же вытесняет меня с админки через Группы пользователей а в винде «политика пользователей». Так же записывает аудио, имеет возможность rpd, ssh, proxy (socks4\5 port 2222) Кароче намучался, уже не знаю как избавится. Антивирусы его не находят, гандон то в оперативной памяти, всё шифрует в стиле «^@^@^@^@tty^@^@^@^@», так же сам сканит сеть и судя по всему брутит роутеры. Судя по установленным пакетам может подменять окно авторизации (и настройки биоса). Где поймал такое чудо хочу найти сие творение.

Перемещено hobbit из general



Последнее исправление: F1shka (всего исправлений: 1)

Ответ на: комментарий от rupert

После переустановки системы (не важно вин\линь) малварь проявляет себя. В винде после запуска хрома. В лине после sudo apt update. Чтоб было понимание у форумчан какие файлы надо скинуть? Уж очень хочется увидеть сколько он весит и из чего состоит

F1shka
() автор топика

kali kernel

Тебя точно взломали, но я не могу поднимать эту тему тут. С этим можно бороться, но ты уже у них на крючке, они давно следят за тобой, сигналом стало использование Кали линукс. Лучше уничтожить компьютер полностью и бежать, прежде чем они на личный контакт выйдут. Проверь смартфон кстати, наверняка он тоже взломан. Тебе нужно примерно год не оставлять цифровых следов чтобы следящие за тобой алгоритмы понизили твой приоритет.

Jameson ★★★★★
()
Ответ на: комментарий от xmikex

Почему нельзя то?

Потому что форма записи работает только для участкового терапевта (в среднем свободные окошки попадаются через 7-10 дней) и в кабинет неотложной помощи - это фельдшер, там запись только на текущий день, но если не успел часов до 10, то вариант топать ногами и сидет в конце очереди в надежде, что примут - не вариант.

А вот терапевт, тот уже со своими правами может записать к специалисту, там тоже свободные окошки в районе 2-ух недель. Даже для «хроников», чтобы попасть к своему специалисту надо сначала прийти к терапевту, просто чтобы тот записал на плановый визит.

Запись по единому номеру телефона работает так же, можно только к участковому.

Ну, а с записью на коммерческий приём - там проблем нет, приходишь оформляешь договор, платишь и идёшь в живую очередь из таких же.

Но, конечно, есть исключения. Если есть специализированное медучреждение, например кардиология, то можно попробовать сразу попасть туда по ОМС, лет 5 назад срабатывало, но сейчас не факт, там постоянно какие-то оптимизации в медицине.

Но вот, если обращаться по месту прикрепления, то всё, как я описал выше.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 2)
Ответ на: комментарий от vvn_black

У нас раньше можно было к психиатру приходить стоявшим на учёте без записи. Сейчас только по записи всех принимает. Естественно терапевт никакого отношения к записи туда не имеет.

xmikex ★★★★
()
Ответ на: комментарий от xmikex

Ой-ё-ё-ё, я перечитал свои сообщения, конечно, мой косяк. Чтобы самостоятельно попасть к психиатру не надо проходить участкового. Конечно, я имел в виду, например, невропатолога или ревматолога и т.п.

Первое моё сообщение - было неудачное «передёргивание» на тему простого способа устранения проблемы ОП визитом к врачу.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 1)
Ответ на: комментарий от izmena

Я так всегда действовал - если не могу избежать, то просто обязан возглавить. Разные флешки, разные образы систем. По итогам в чистой ос, после загрузки в буфере обмена огрызки:

1)PSReadLine

2)/opt/google/chrome/vk_swiftshader_icd.json Содежимое файла:

{"file_format_version": "1.0.0", "ICD": {"library_path": "./libvk_swiftshader.so", "api_version": "1.0.5"}}
  1. Modules-PSReadLine-Microsoft.PowerShell.PSReadLine2.dll-52F0AFF4F48DC1571B5021B9EB5419BC590B1133 - огрызок

4)This schema definition defines block inline еще один огрызок

5)https://go.microsoft.com/fwlink/?LinkID=108518. снова

6)https://aka.ms/i6t6o3 и снова 7)xdg-settings –help судя по всему инсталит гадость привилегии локалки. При наборе (sudo su) в терминале ответ поступает, что я рут, однако он перехватывает всё, выдает что я root хоть и не являюсь таковым.

8)https://github.com/PaulHigin/PSThreadJob потом сюда чешет

9)/var/cache/man/oldlocal:/var/cache/man/local:/var/cache/man -тут не понимаю, что он делает

10)http://crbug.com/24120 опять куда то.

11)/usr/local/google/home/chrome-eng/b/slave/chrome-official-linux/build/src/chrome/browser/

Паразит сидит плотно. Грешил на роутер, что взломан и прошит, но ничего подобного. Полное форматирование, шифрование ничего не поменяли. Гандон ныкается. Спи**л у меня 1гб места на диске и кайфарики ловит (думаю виртуальный диск). UEFI rootkit какой то шибко навороченный. Даже сует фейковую авторизацию на роутер, записывает аудио, доступ по RDP (что в винде, что в линь). Умудряется поднять httpd, ssl, шифрует что натырит. Интервал запуска 2 сек. Стучит на почту (могу ошибаться). Работает одинаково хорошо, что под Linux, что под Windows.

F1shka
() автор топика
13 декабря 2022 г.
Ответ на: комментарий от d00fy

идёшь к однокласснику, садишься за его незаражённый комп и скачиваешь liveCD нормального дистра Linux. Далее ищешь в гугле, как на liveCD установить flashrom и примеры его использования

А смысл? До следующего заражения в течение нескольких минут.

Правильно же говорят, сначала нужно обратиться к психиатру и описать ему симптомы болезни своего компа, далее запросить у него способ замены чипа BIOS flash на true ROM ПЗУ, одноразово программируемый или со стиранием УФ лампой.

Потом с рецептом и направлением идешь в сервис, там тебе вместо флэш чипа устанавливают на матплату колодку и ставят в нее ПЗУ с чистым незараженным бивисом, потом ставишь OpenBSD и радуешься здоровой психике своего компа.

sanyo1234
()
Security