Como les había mencionado anteriormente lo prometido es deuda :-\ y aqui les dejo un pequeño paper sobre que es el MBR (Master_Boot_Record) y su vulnerabilidad ante algunos virus muy avanzados y potencialmente dañinos. Realizo este paper ya que en los últimos días tuve la oportunidad de trabajar con un PC que tenia el MBR infectado y en el fanpage de FB del foro muchos algunos usuarios se mostraron interesados en leer un poquito mas sobre el tema. Mas que un manual de como hacer las cosas es algo asi como un hilo de introducción para que todos pueda in aportando sus experiencias
QUE ES Y COMO FUNCIONA EL MBR?
Primero empecemos por definir MBR (Master_Boot_Record), que segun madre "wikipedia" es Un registro de arranque principal, conocido también como registro de arranque maestro o por su nombre en inglés master boot record(abreviado MBR) es el primer sector ("sector cero") de un dispositivo de almacenamiento de datos, como por ejemplo un disco duro.
En palabras mas llanas es una porción del disco duro reservada y exclusiva donde se alberga una lista de los sistemas operativos capaces de iniciar el funcionamiento del computador, por ejemplo, cuando instalamos windows y algún sistema linux en el mismo equipo el MBR es el encargado de buscar y reconocer cada archivo boot.ini en los respectivos "SO" y así permitirnos elegir cual queremos usar.
Generalmente el BIOS de un sistema busca un MBR valido en cualquier disco particionado durante la secuencia de arranque, luego de encontrarlo el MBR busca los sistemas operativos disponibles, (así que el master boot record, como otros sectores de arranque, es un blanco para los virus que infectan el sector de arranque). El código del MBR, puede ser modificado por algún malware, para que realice una serie de tareas que son distintas al comportamiento normal del mismo.
VIRUS EN EL MASTER BOOT RECORD.
Todos tenemos mas o menos una idea de lo que es un virus informatico (malware, rootkits, etc..) pero aquí una definición por mi parte, "Un virus es un pequeño puñado de codigo creado con el objetivo de causar daños y alteraciones en los sistemas infectados, así como su propagación por cualquier medio" justo igual que la gripe. Pues como todo en la vida es un constante equilibrio existen las herramientas anti-malware, por ejemplos anti-virus, anti-rootkits, etc... Estas herramientas normalmente examinan el disco duro y los archivos en busca de código malicioso escondido. Pero generalmente JAMAS BUSCAN EN EL MBR que siendo una porción del disco duro que se ejecuta puede albergar código malicioso. Cabe aclarar que un formateo NO ELIMINA un virus alojado en el MBR
Por ejemplo el "Trojan:DOS/Alureon.A " es uno de esos virus que se enfocan en el MBR causando pantallazos azules y sintomas que a cualquier tecnico experimentado le harian pensar en segmentos de memoria dañados, disco duro defectuoso, etc... Al activarse desde el MBR (Master Boot Record), el virus se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los virus no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).
SINTOMAS DE UN VIRUS EN EL MBR
Los sintomas dependen del objetivo que el creador haya tenido en la cabeza, por ejemplo con el que me tope recientemente abria conexiones de red para comunicarse con DNS Dinamico (El clasico troyano) pero pueden aparecer muchos que te revienten el monitor de pantallazos azules o simplemente impidan el inicio correcto del sistema operativo.
COMO ELIMINAR UN VIRUS EN EL MBR.
Pues lo primero para eliminar un virus en el MBR es encontrarlo y estar seguros de que ese es el problema, yo recomiendo la aplicacion gratuita de Avast "aswMBR.exe" ya que tiene una interfaz sencilla y es muy potente, lo pueden descargar desde aqui http://public.avast.com/~gmerek/aswMBR.htm (http://public.avast.com/~gmerek/aswMBR.htm) después de descargarlo lo ejecutan, al ejecutarlo por primera vez les preguntara si desean actualizar la base de datos, si disponen de una conexión a internet les recomiendo actualizar pues así sera mas seguro.
Cuando termine de actualizar les saldra algo como esto:
(http://public.avast.com/~gmerek/aswMBR1.png)
Hacemos clic en SCAN para que comience el análisis, al terminar el análisis tendremos tres opciones, que son: FixMBR, Save Log y Exit. La primera vez que lo ejecutamos solo podemos RESTAURAR EL MBR y para ello hacemos click en FixMbr.
(http://public.avast.com/~gmerek/aswMBR4.png)
Posterior a esto reiniciamos el equipo y repetimos el proceso. Los archivos sospechosos aparecerán en rojo, y tenemos la opción de guardar un log para compartirlo en foros como este donde personas puedan ir sumando sus experiencias.
Saludos Familia.
Me encanto este comentario: Si yo tengo una manzana y tu tienes otra e intercambiamos, al final tendremos 1 manzana cada uno. Pero si yo tengo una idea y tu tienes otra e intercambiamos, al final tendremos 2 ideas cada uno" Me encanta la matematica...
Ey, Gracias por la informacion, me ha gustado la guia, la tendre en cuenta para cuando lo necesite.
Buenísimo, gracias. Estos virus son muy jodidos y complicados de eliminar asi que voy a tener en cuenta este tema.
Saludos.
Buen aporte :P Saludos!!
...pero esta herramienta elimina el virus o solo te detalla ubicacion o nombre
elimina o no ?
Buen Post ;D
Cita de: $Edu$ en 31 Octubre 2012, 20:02 PM
Buen aporte :P Saludos!!
Saludos "Edu" mucho tiempo sin saber de ti man.. Edu queria saber si aun tenias acceso al hosting de la escuelita, quiero recuperar unos cuantos papers que postee.
Cita de: Rr_bug32 en 31 Octubre 2012, 23:18 PM
...pero esta herramienta elimina el virus o solo te detalla ubicacion o nombre
elimina o no ?
La elimina y restaura el MBR a su esta normal.
Good!
Thankyou
Si te digo la verdad nunca me he topado con un virus así de jodido pero si nadie me dice nada de como eliminarlo mi opción sería ir a comprar directamnete otro hdd.
Gracias a dios que Avast nos aporta esta herramienta que si no ya hubiera tirado mucho dinero por el retrete.
Gran aporte socio!
Cita de: Dryken en 1 Noviembre 2012, 13:53 PM
Si te digo la verdad nunca me he topado con un virus así de jodido pero si nadie me dice nada de como eliminarlo mi opción sería ir a comprar directamnete otro hdd.
jejej tienes razon man, pero existen cosas peores, por ejemplo el virus Mebromi ataca el BIOS del motherboard, modificando el codigo y auto-lanzandose desde este, en un caso de infeccion completa del "Mebromi" incluso cambiar de disco duro seria inutil.
Aqui (http://www.zonavirus.com/noticias/2011/descubierto-un-nuevo-virus-de-bios-el-mebromi.asp) te dejo un poco de informacion sobre el tema.
Cita de: Dryken en 1 Noviembre 2012, 13:53 PM
Gran aporte socio!
:xD Gracias..
Wow!!! CloudswX me he leido el artículo entero y que decirte, el virus MEBROMI es increible, bueno más que increible, es asombroso.
Ostias es que en principio no hay forma de solucionarlo...¿otra placa? ni pensarlo es una opción :xD
Menos mal que por ahora solo anda por China, aunque seguramente llegará a occidente, con internet todo se extiende a velocidades increibles.
Espero que ese virus malvado jamás me llegue, prefiero ser el que infecte a otros a ser la víctima. Jajaj tengo mi punto cabroncete :xD
Hace unos días traté con un ordenador que tenía el virus de la policía , pero estaba hecho de tal manera que no se podía acceder en modo seguro de Windows porque no dejaba...
Podría aver sido cosa de que también estaba en el MBR?
Al final lo eliminaron formateando el disco pero me he quedado con la duda :S
Cita de: R3tr0 en 13 Noviembre 2012, 16:38 PM
Al final lo eliminaron formateando el disco pero me he quedado con la duda :S
Cita de: CloudswX en 30 Octubre 2012, 19:54 PM
Cabe aclarar que un formateo NO ELIMINA un virus alojado en el MBR
Saludos por alla.
Muy buen paper!, me ha gustado la herramienta de AVAST.
Gracias
oye viejo el link que pusiste lo descarge y despues no me dejaba escanear y luego de varios intentos me dio unpantallazo azul que la verdad deje de intentarlo como solo soy por el momento un aficionado mejor lo deje por la paz puedes poner otra solucion por fa saludos desde mexico :o
Saludos "alber76" pues la pregunta logica que se me ocurre es:
Padeces algun sintoma que te indique que tienes una infeccion en el MBR?
Que tipo de pantallazo azul?
Que windows tienes?
Publica esta info y con mucho gusto te ayudo hermano.
Saludos por alla.
Excelente
Buenas, felicidades antes de nada y ahora una duda que me a surgido sobre el MBR, y es la siguiente ¿si solamente tengo un sistema operativo funciona el MBR? tengo entendido que la función de MBR es la de seleccionar el sistema operativo que queremos utilizar cuando tenemos instalado más de uno, si solamente tengo uno el MBR funciona pero accede únicamente al único sistema operativo y por lo tanto no lo veo? o el MBR solamente funciona cuando existen más de dos sistemas operativos instalados en el mismo HD.
Gracias y salud.
Pues el MBR siempre esta funcionando, aunque solo tengas un sistema operativo instalado. Imagina que tienes windows instalado con el disco particionado. El MBR es el encargado de confirmar cual de las particiones tiene un active flag valido, para posteriormente cargar y correr el boot.ini de dicho sistema. Pero mas lejos aun, imagina que tienes windows instalado con un solo disco sin particionar :huh: , de igual modo el MBR buscara un disco duro valido para poder iniciar el sistema.
Saludos por allá hermano
hola amigos , he utilizado la erramienta de abast y he encontrado malware en el bmr
aswMBR version 1.0.1.2041 Copyright(c) 2014 AVAST Software
Run date: 2014-10-06 19:58:01
-----------------------------
19:58:01.171 OS Version: Windows x64 6.1.7601 Service Pack 1
19:58:01.171 Number of processors: 2 586 0x603
19:58:01.172 ComputerName: PILAR-PC UserName: Pilar
19:58:02.029 Initialize success
19:58:02.030 VM: initialized successfully
19:58:02.049 VM: Amd CPU supported virtualized
19:58:18.216 VM: supported disk I/O storport.sys
19:58:21.549 AVAST engine defs: 14100600
19:58:32.980 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005c
19:58:32.987 Disk 0 Vendor: WDC_WD50 05.0 Size: 476940MB BusType: 3
19:58:33.082 Disk 0 MBR read successfully
19:58:33.089 Disk 0 MBR scan
19:58:33.100 Disk 0 Windows 7 default MBR code
19:58:33.109 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 17000 MB offset 2048
19:58:33.124 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 34818048
19:58:33.128 Disk 0 default boot code
19:58:33.143 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 229918 MB offset 35022848
19:58:33.168 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 229920 MB offset 505894912
19:58:33.199 Disk 0 scanning C:\Windows\system32\drivers
19:58:40.724 Service scanning
19:58:58.479 Modules scanning
19:58:58.497 Disk 0 trace - called modules:
19:58:58.529 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll nvstor64.sys
19:58:58.541 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80044ae470]
19:58:58.555 3 CLASSPNP.SYS[fffff8800194343f] -> nt!IofCallDriver -> [0xfffffa80043a37a0]
19:58:58.561 5 ACPI.sys[fffff88000f177a1] -> nt!IofCallDriver -> \Device\0000005c[0xfffffa80043a3060]
19:58:59.450 AVAST engine scan C:\Windows
19:59:01.459 AVAST engine scan C:\Windows\system32
20:01:24.788 AVAST engine scan C:\Windows\system32\drivers
20:01:42.908 AVAST engine scan C:\Users\Pilar
20:03:24.949 File: C:\Users\Pilar\AppData\Local\Temp\tex.exe **INFECTED** Win32:Malware-gen
20:05:16.955 AVAST engine scan C:\ProgramData
20:07:27.179 Scan finished successfully
20:09:15.643 Verifying
20:09:25.672 Disk 0 Windows 601 MBR fixed successfully
20:11:05.842 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005c
20:11:05.857 Disk 0 Vendor: WDC_WD50 05.0 Size: 476940MB BusType: 3
20:11:06.039 Disk 0 MBR read successfully
20:11:06.044 Disk 0 MBR scan
20:11:06.048 Disk 0 Windows 7 default MBR code
20:11:06.059 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 17000 MB offset 2048
20:11:06.082 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 34818048
20:11:06.093 Disk 0 default boot code
20:11:06.109 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 229918 MB offset 35022848
20:11:06.135 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 229920 MB offset 505894912
20:11:06.241 Disk 0 scanning C:\Windows\system32\drivers
20:11:22.910 Service scanning
20:11:38.221 Modules scanning
20:11:38.244 Disk 0 trace - called modules:
20:11:38.278 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll nvstor64.sys
20:11:38.292 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80044ae470]
20:11:38.305 3 CLASSPNP.SYS[fffff8800194343f] -> nt!IofCallDriver -> [0xfffffa80043a37a0]
20:11:38.313 5 ACPI.sys[fffff88000f177a1] -> nt!IofCallDriver -> \Device\0000005c[0xfffffa80043a3060]
20:11:38.916 AVAST engine scan C:\Windows
20:11:44.324 AVAST engine scan C:\Windows\system32
20:13:41.390 AVAST engine scan C:\Windows\system32\drivers
20:13:51.014 AVAST engine scan C:\Users\Pilar
20:15:08.494 File: C:\Users\Pilar\AppData\Local\Temp\tex.exe **INFECTED** Win32:Malware-gen
20:16:34.225 AVAST engine scan C:\ProgramData
20:17:32.146 Scan finished successfully
20:21:40.551 Disk 0 MBR has been saved successfully to "C:\Users\Pilar\Documents\MBR.dat"
20:21:40.556 The log file has been saved successfully to "C:\Users\Pilar\Documents\aswMBR.txt"
pero lo vuelvo a pasar y siempre me sale el archivo infectado, alguien sabe por que?
Después que lo encuentras infectado que opción seleccionas?
Enviado desde iOS utilizando Tapatalk.
Hola tienes virtualización:
Citar19:58:02.030 VM: initialized successfully
19:58:02.049 VM: Amd CPU supported virtualized
19:58:18.216 VM: supported disk I/O storport.sys
Seguistes los pasos indicados aquí:
http://public.avast.com/~gmerek/aswMBR.htm
Fix MBR.
También tienes otras alternativas:
MBR rootkit detector:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/mbr/mbr.exe
Avira Boot Sector Removal Tool:
- Web: http://www.avira.com/en/download/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool
- D.Directa: http://dlpro.antivir.com/down/windows/bootwizard.exe
Aquí tienes Antibootkit por si hubiese algo más en el sistema:
AVG Bootkit Removal Tool:
- Web: http://free.avg.com/es-es/remove-win32-bootkit
- D.Directa: http://download.avg.com/filedir/util/avgrem/avg_remover_bootkit.exe
BitDefender Bootkit Removal Tool:
- Web: http://www.hotforsecurity.com/download/bitdefender-bootkit-removal-tool-32-bit-and-64-bit
- D.Directa: http://www.hotforsecurity.com/?downloadkey=804a5265650d8145d9b094c2b62cfe60&file=19
PD: @carloscoronas, intentad crear un tema nuevo, en caso de solucionarse puede quedar expuesto y ha vista de otros usuarios que se vean ante situaciones similares.
Saludos.
bueno, ante todo muchas gracias por la atencion recibida.
el problema ya se ha solucionado, y a no ser que haya algo oculto el ordenador parece totalmente limpio.
tengo otro ordenador que de tanto bicho parece la casa de la familia monster y no me hago con el, le he pasado el aswbmr y me salen 4 conceptos en amarillo y pone "looked" y uno en rojo " unknow"
abrire un ulo nuevo con el report para que lo veais,
como me aconsejais que titule el hilo para que sea de mas ayuda ara otros que les suceda igual?
hola... es la primera vez que me comunico por este medio asi que perdón por los horrores que cometa.. espero puedan ver el archivo que adjunto es el aswmbr.txtaswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2016-06-29 12:06:39
-----------------------------
12:06:39.381 OS Version: Windows x64 6.2.9200
12:06:39.381 Number of processors: 2 586 0x3A09
12:06:39.381 ComputerName: DANIELR UserName: Daniel
12:06:39.959 Initialize success
12:10:37.221 AVAST engine defs: 16062900
12:10:45.768 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000003d
12:10:45.784 Disk 0 Vendor: TOSHIBA_MQ01ABD050 AX001A Size: 476940MB BusType: 11
12:10:45.925 Disk 0 MBR read successfully
12:10:45.925 Disk 0 MBR scan
12:10:45.956 Disk 0 Windows 7 default MBR code
12:10:45.972 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 350 MB offset 2048
12:10:45.972 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 153650 MB offset 718848
12:10:46.018 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 322939 MB offset 315394048
12:10:46.143 Disk 0 scanning C:\Windows\system32\drivers
12:10:57.613 Service scanning
12:11:26.927 Modules scanning
12:11:26.927 Disk 0 trace - called modules:
12:11:26.958 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys storahci.sys hal.dll
12:11:26.974 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800438b060]
12:11:26.989 3 CLASSPNP.SYS[fffff88000b4fe0a] -> nt!IofCallDriver -> [0xfffffa8003d52e40]
12:11:26.989 5 ACPI.sys[fffff88001001a91] -> nt!IofCallDriver -> \Device\0000003d[0xfffffa8003d50060]
12:11:27.552 AVAST engine scan C:\Windows
12:11:29.630 AVAST engine scan C:\Windows\system32
12:14:18.107 AVAST engine scan C:\Windows\system32\drivers
12:14:30.546 AVAST engine scan C:\Users\Daniel
12:28:04.072 AVAST engine scan C:\ProgramData
12:28:52.277 Disk 0 statistics 3612411/0/0 @ 1,98 MB/s
12:28:52.293 Scan finished successfully
12:39:41.045 Disk 0 MBR fix error
12:39:55.124 Disk 0 MBR has been saved successfully to "C:\Users\Daniel\Downloads\MBR.dat"
12:39:55.155 The log file has been saved successfully to "C:\Users\Daniel\Downloads\aswMBR.txt"
espero su ayuda y comentarios a fin de poder eliminar el virus que esta enlenteciendo mi pc... desde ya muchas gracias