Como eliminar virus en el MBR

Iniciado por CloudswX, 30 Octubre 2012, 19:54 PM

0 Miembros y 1 Visitante están viendo este tema.

CloudswX

Como les había mencionado anteriormente lo prometido es deuda  :-\ y aqui les dejo un pequeño paper sobre que es el MBR (Master_Boot_Record)  y su vulnerabilidad ante algunos virus muy avanzados y potencialmente dañinos. Realizo este paper ya que en los últimos días tuve la oportunidad de trabajar con un PC  que tenia el MBR infectado y en el fanpage de FB del foro muchos algunos usuarios se mostraron interesados en leer un poquito mas sobre el tema. Mas que un manual de como hacer las cosas es algo asi como un hilo de introducción para que todos pueda in aportando sus experiencias

QUE ES Y COMO FUNCIONA EL MBR?

Primero empecemos por definir MBR (Master_Boot_Record), que segun madre "wikipedia" es Un registro de arranque principal, conocido también como registro de arranque maestro o por su nombre en inglés master boot record(abreviado MBR) es el primer sector ("sector cero") de un dispositivo de almacenamiento de datos, como por ejemplo un disco duro.

En palabras mas llanas es una porción del disco duro reservada y exclusiva donde se alberga una lista de los sistemas operativos capaces de iniciar el funcionamiento del computador, por ejemplo, cuando instalamos windows y algún sistema linux en el mismo equipo el MBR es el encargado de buscar y reconocer cada archivo boot.ini en los respectivos "SO" y así permitirnos elegir cual queremos usar.

Generalmente el BIOS de un sistema busca un MBR valido en cualquier disco particionado durante la secuencia de arranque, luego de encontrarlo el MBR busca los sistemas operativos disponibles, (así que el master boot record, como otros sectores de arranque, es un blanco para los virus que infectan el sector de arranque). El código del MBR, puede ser modificado por algún malware, para que realice una serie de tareas que son distintas al comportamiento normal del mismo.

VIRUS EN EL MASTER BOOT RECORD.

Todos tenemos mas o menos una idea de lo que es un virus informatico (malware, rootkits, etc..) pero aquí una definición por mi parte, "Un virus es un pequeño puñado de codigo creado con el objetivo de causar daños y alteraciones en los sistemas infectados, así como su propagación por cualquier medio" justo igual que la gripe. Pues como todo en la vida es un constante equilibrio existen las herramientas anti-malware, por ejemplos anti-virus, anti-rootkits, etc... Estas herramientas normalmente examinan el disco duro y los archivos en busca de código malicioso escondido. Pero generalmente JAMAS BUSCAN EN EL MBR que siendo una porción del disco duro que se ejecuta puede albergar código malicioso. Cabe aclarar que un formateo NO ELIMINA un virus alojado en el MBR

Por ejemplo el "Trojan:DOS/Alureon.A " es uno de esos virus que se enfocan en el MBR causando pantallazos azules y sintomas que a cualquier tecnico experimentado le harian pensar en segmentos de memoria dañados, disco duro defectuoso, etc... Al activarse desde el MBR (Master Boot Record), el virus se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los virus no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).

SINTOMAS DE UN VIRUS EN EL MBR

Los sintomas dependen del objetivo que el creador haya tenido en la cabeza, por ejemplo con el que me tope recientemente abria conexiones de red para comunicarse con DNS Dinamico (El clasico troyano) pero pueden aparecer muchos que te revienten el monitor de pantallazos azules o simplemente impidan el inicio correcto del sistema operativo.

COMO ELIMINAR UN VIRUS EN EL MBR.

Pues lo primero para eliminar un virus en el MBR es encontrarlo y estar seguros de que ese es el problema, yo recomiendo la aplicacion gratuita de Avast "aswMBR.exe" ya que tiene una interfaz sencilla y es muy potente, lo pueden descargar desde aqui http://public.avast.com/~gmerek/aswMBR.htm  después de descargarlo lo ejecutan,  al ejecutarlo por primera vez les preguntara si desean actualizar la base de datos, si disponen de una conexión a internet les recomiendo actualizar pues así sera mas seguro.
Cuando termine de actualizar les saldra algo como esto:


Hacemos clic en SCAN para que comience el análisis, al terminar el análisis tendremos  tres opciones, que son: FixMBR, Save Log y Exit. La primera vez que lo ejecutamos solo podemos RESTAURAR EL MBR y para ello hacemos click en FixMbr.


Posterior a esto reiniciamos el equipo y repetimos el proceso. Los archivos sospechosos aparecerán en rojo, y tenemos la opción de guardar un log para compartirlo en foros como este donde personas puedan ir sumando sus experiencias.

Saludos Familia.


«Dios no juega a los dados, usa /dev/random.»
twitter: @cloudswx

Martin-Ph03n1X

Me encanto este comentario: Si yo tengo una manzana y tu tienes otra e intercambiamos, al final tendremos 1 manzana cada uno. Pero si yo tengo una idea y tu tienes otra e intercambiamos, al final tendremos 2 ideas cada uno" Me encanta la matematica...
  No eres tu trabajo, no eres cuanto tienes en el banco, no eres el auto que conduces, ni el contenido en tu billetera, no eres tus malditos cakis, eres el bailarin cantante del mundo...!!!"

peib0l

Ey, Gracias por la informacion, me ha gustado la guia, la tendre en cuenta para cuando lo necesite.

Crazy.sx

Buenísimo, gracias. Estos virus son muy jodidos y complicados de eliminar asi que voy a tener en cuenta este tema.

Saludos.
Destruir K. LOL

$Edu$


Rr_bug32

...pero esta  herramienta   elimina  el virus  o  solo  te detalla   ubicacion  o nombre
elimina o no ?
....( . .)....
       -


CloudswX

Cita de: $Edu$ en 31 Octubre 2012, 20:02 PM
Buen aporte :P Saludos!!

Saludos "Edu" mucho tiempo sin saber de ti man.. Edu queria saber si aun tenias acceso al hosting de la escuelita, quiero recuperar unos cuantos papers que postee.

Cita de: Rr_bug32 en 31 Octubre 2012, 23:18 PM
...pero esta  herramienta   elimina  el virus  o  solo  te detalla   ubicacion  o nombre
elimina o no ?


La elimina y restaura el MBR a su esta normal.


«Dios no juega a los dados, usa /dev/random.»
twitter: @cloudswx

Rr_bug32

....( . .)....
       -

Dryken

Si te digo la verdad nunca me he topado con un virus así de jodido pero si nadie me dice nada de como eliminarlo mi opción sería ir a comprar directamnete otro hdd.

Gracias a dios que Avast nos aporta esta herramienta que si no ya hubiera tirado mucho dinero por el retrete.

Gran aporte socio!
Lo intentas y fracasas, lo intentas y fracasas pero fracasas realmente cuando dejas de intentarlo.

Calc Don v0.7 - C
http://foro.elhacker.net/programacion_cc/source_calculadora_calc_don_10-t366489.0.html

Hundir la flota v0.3 - C#
http://foro.elhacker.net/net/source_c_juego_hundir_la_flota_v01-t377794.0.html