Como les había mencionado anteriormente lo prometido es deuda y aqui les dejo un pequeño paper sobre que es el MBR (Master_Boot_Record) y su vulnerabilidad ante algunos virus muy avanzados y potencialmente dañinos. Realizo este paper ya que en los últimos días tuve la oportunidad de trabajar con un PC que tenia el MBR infectado y en el fanpage de FB del foro muchos algunos usuarios se mostraron interesados en leer un poquito mas sobre el tema. Mas que un manual de como hacer las cosas es algo asi como un hilo de introducción para que todos pueda in aportando sus experiencias
Primero empecemos por definir MBR (Master_Boot_Record), que segun madre "wikipedia" es Un registro de arranque principal, conocido también como registro de arranque maestro o por su nombre en inglés master boot record(abreviado MBR) es el primer sector ("sector cero") de un dispositivo de almacenamiento de datos, como por ejemplo un disco duro.
En palabras mas llanas es una porción del disco duro reservada y exclusiva donde se alberga una lista de los sistemas operativos capaces de iniciar el funcionamiento del computador, por ejemplo, cuando instalamos windows y algún sistema linux en el mismo equipo el MBR es el encargado de buscar y reconocer cada archivo boot.ini en los respectivos "SO" y así permitirnos elegir cual queremos usar.
Generalmente el BIOS de un sistema busca un MBR valido en cualquier disco particionado durante la secuencia de arranque, luego de encontrarlo el MBR busca los sistemas operativos disponibles, (así que el master boot record, como otros sectores de arranque, es un blanco para los virus que infectan el sector de arranque). El código del MBR, puede ser modificado por algún malware, para que realice una serie de tareas que son distintas al comportamiento normal del mismo.
Todos tenemos mas o menos una idea de lo que es un virus informatico (malware, rootkits, etc..) pero aquí una definición por mi parte, "Un virus es un pequeño puñado de codigo creado con el objetivo de causar daños y alteraciones en los sistemas infectados, así como su propagación por cualquier medio" justo igual que la gripe. Pues como todo en la vida es un constante equilibrio existen las herramientas anti-malware, por ejemplos anti-virus, anti-rootkits, etc... Estas herramientas normalmente examinan el disco duro y los archivos en busca de código malicioso escondido. Pero generalmente JAMAS BUSCAN EN EL MBR que siendo una porción del disco duro que se ejecuta puede albergar código malicioso. Cabe aclarar que un formateo NO ELIMINA un virus alojado en el MBR
Por ejemplo el "Trojan:DOS/Alureon.A " es uno de esos virus que se enfocan en el MBR causando pantallazos azules y sintomas que a cualquier tecnico experimentado le harian pensar en segmentos de memoria dañados, disco duro defectuoso, etc... Al activarse desde el MBR (Master Boot Record), el virus se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los virus no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).
Los sintomas dependen del objetivo que el creador haya tenido en la cabeza, por ejemplo con el que me tope recientemente abria conexiones de red para comunicarse con DNS Dinamico (El clasico troyano) pero pueden aparecer muchos que te revienten el monitor de pantallazos azules o simplemente impidan el inicio correcto del sistema operativo.
Pues lo primero para eliminar un virus en el MBR es encontrarlo y estar seguros de que ese es el problema, yo recomiendo la aplicacion gratuita de Avast "aswMBR.exe" ya que tiene una interfaz sencilla y es muy potente, lo pueden descargar desde aqui http://public.avast.com/~gmerek/aswMBR.htm después de descargarlo lo ejecutan, al ejecutarlo por primera vez les preguntara si desean actualizar la base de datos, si disponen de una conexión a internet les recomiendo actualizar pues así sera mas seguro.
Cuando termine de actualizar les saldra algo como esto:
Hacemos clic en SCAN para que comience el análisis, al terminar el análisis tendremos tres opciones, que son: FixMBR, Save Log y Exit. La primera vez que lo ejecutamos solo podemos RESTAURAR EL MBR y para ello hacemos click en FixMbr.
Posterior a esto reiniciamos el equipo y repetimos el proceso. Los archivos sospechosos aparecerán en rojo, y tenemos la opción de guardar un log para compartirlo en foros como este donde personas puedan ir sumando sus experiencias.
Saludos Familia.
QUE ES Y COMO FUNCIONA EL MBR?
Primero empecemos por definir MBR (Master_Boot_Record), que segun madre "wikipedia" es Un registro de arranque principal, conocido también como registro de arranque maestro o por su nombre en inglés master boot record(abreviado MBR) es el primer sector ("sector cero") de un dispositivo de almacenamiento de datos, como por ejemplo un disco duro.
En palabras mas llanas es una porción del disco duro reservada y exclusiva donde se alberga una lista de los sistemas operativos capaces de iniciar el funcionamiento del computador, por ejemplo, cuando instalamos windows y algún sistema linux en el mismo equipo el MBR es el encargado de buscar y reconocer cada archivo boot.ini en los respectivos "SO" y así permitirnos elegir cual queremos usar.
Generalmente el BIOS de un sistema busca un MBR valido en cualquier disco particionado durante la secuencia de arranque, luego de encontrarlo el MBR busca los sistemas operativos disponibles, (así que el master boot record, como otros sectores de arranque, es un blanco para los virus que infectan el sector de arranque). El código del MBR, puede ser modificado por algún malware, para que realice una serie de tareas que son distintas al comportamiento normal del mismo.
VIRUS EN EL MASTER BOOT RECORD.
Todos tenemos mas o menos una idea de lo que es un virus informatico (malware, rootkits, etc..) pero aquí una definición por mi parte, "Un virus es un pequeño puñado de codigo creado con el objetivo de causar daños y alteraciones en los sistemas infectados, así como su propagación por cualquier medio" justo igual que la gripe. Pues como todo en la vida es un constante equilibrio existen las herramientas anti-malware, por ejemplos anti-virus, anti-rootkits, etc... Estas herramientas normalmente examinan el disco duro y los archivos en busca de código malicioso escondido. Pero generalmente JAMAS BUSCAN EN EL MBR que siendo una porción del disco duro que se ejecuta puede albergar código malicioso. Cabe aclarar que un formateo NO ELIMINA un virus alojado en el MBR
Por ejemplo el "Trojan:DOS/Alureon.A " es uno de esos virus que se enfocan en el MBR causando pantallazos azules y sintomas que a cualquier tecnico experimentado le harian pensar en segmentos de memoria dañados, disco duro defectuoso, etc... Al activarse desde el MBR (Master Boot Record), el virus se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los virus no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).
SINTOMAS DE UN VIRUS EN EL MBR
Los sintomas dependen del objetivo que el creador haya tenido en la cabeza, por ejemplo con el que me tope recientemente abria conexiones de red para comunicarse con DNS Dinamico (El clasico troyano) pero pueden aparecer muchos que te revienten el monitor de pantallazos azules o simplemente impidan el inicio correcto del sistema operativo.
COMO ELIMINAR UN VIRUS EN EL MBR.
Pues lo primero para eliminar un virus en el MBR es encontrarlo y estar seguros de que ese es el problema, yo recomiendo la aplicacion gratuita de Avast "aswMBR.exe" ya que tiene una interfaz sencilla y es muy potente, lo pueden descargar desde aqui http://public.avast.com/~gmerek/aswMBR.htm después de descargarlo lo ejecutan, al ejecutarlo por primera vez les preguntara si desean actualizar la base de datos, si disponen de una conexión a internet les recomiendo actualizar pues así sera mas seguro.
Cuando termine de actualizar les saldra algo como esto:
Hacemos clic en SCAN para que comience el análisis, al terminar el análisis tendremos tres opciones, que son: FixMBR, Save Log y Exit. La primera vez que lo ejecutamos solo podemos RESTAURAR EL MBR y para ello hacemos click en FixMbr.
Posterior a esto reiniciamos el equipo y repetimos el proceso. Los archivos sospechosos aparecerán en rojo, y tenemos la opción de guardar un log para compartirlo en foros como este donde personas puedan ir sumando sus experiencias.
Saludos Familia.