Foro de elhacker.net

Como les había mencionado anteriormente lo prometido es deuda  :-\ y aqui les dejo un pequeño paper sobre que es el MBR (Master_Boot_Record)  y su vulnerabilidad ante algunos virus muy avanzados y potencialmente dañinos. Realizo este paper ya que en los últimos días tuve la oportunidad de trabajar con un PC  que tenia el MBR infectado y en el fanpage de FB del foro muchos algunos usuarios se mostraron interesados en leer un poquito mas sobre el tema. Mas que un manual de como hacer las cosas es algo asi como un hilo de introducción para que todos pueda in aportando sus experiencias


Primero empecemos por definir MBR (Master_Boot_Record), que segun madre “wikipedia” es Un registro de arranque principal, conocido también como registro de arranque maestro o por su nombre en inglés master boot record(abreviado MBR) es el primer sector ("sector cero") de un dispositivo de almacenamiento de datos, como por ejemplo un disco duro.

En palabras mas llanas es una porción del disco duro reservada y exclusiva donde se alberga una lista de los sistemas operativos capaces de iniciar el funcionamiento del computador, por ejemplo, cuando instalamos windows y algún sistema linux en el mismo equipo el MBR es el encargado de buscar y reconocer cada archivo boot.ini en los respectivos “SO” y así permitirnos elegir cual queremos usar.

Generalmente el BIOS de un sistema busca un MBR valido en cualquier disco particionado durante la secuencia de arranque, luego de encontrarlo el MBR busca los sistemas operativos disponibles, (así que el master boot record, como otros sectores de arranque, es un blanco para los virus que infectan el sector de arranque). El código del MBR, puede ser modificado por algún malware, para que realice una serie de tareas que son distintas al comportamiento normal del mismo.


Todos tenemos mas o menos una idea de lo que es un virus informatico (malware, rootkits, etc..) pero aquí una definición por mi parte, “Un virus es un pequeño puñado de codigo creado con el objetivo de causar daños y alteraciones en los sistemas infectados, así como su propagación por cualquier medio” justo igual que la gripe. Pues como todo en la vida es un constante equilibrio existen las herramientas anti-malware, por ejemplos anti-virus, anti-rootkits, etc... Estas herramientas normalmente examinan el disco duro y los archivos en busca de código malicioso escondido. Pero generalmente JAMAS BUSCAN EN EL MBR que siendo una porción del disco duro que se ejecuta puede albergar código malicioso. Cabe aclarar que un formateo NO ELIMINA un virus alojado en el MBR

Por ejemplo el “Trojan:DOS/Alureon.A “ es uno de esos virus que se enfocan en el MBR causando pantallazos azules y sintomas que a cualquier tecnico experimentado le harian pensar en segmentos de memoria dañados, disco duro defectuoso, etc... Al activarse desde el MBR (Master Boot Record), el virus se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los virus no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).


Los sintomas dependen del objetivo que el creador haya tenido en la cabeza, por ejemplo con el que me tope recientemente abria conexiones de red para comunicarse con DNS Dinamico (El clasico troyano) pero pueden aparecer muchos que te revienten el monitor de pantallazos azules o simplemente impidan el inicio correcto del sistema operativo.


Pues lo primero para eliminar un virus en el MBR es encontrarlo y estar seguros de que ese es el problema, yo recomiendo la aplicacion gratuita de Avast ”aswMBR.exe” ya que tiene una interfaz sencilla y es muy potente, lo pueden descargar desde aqui http://public.avast.com/~gmerek/aswMBR.htm (http://public.avast.com/~gmerek/aswMBR.htm)  después de descargarlo lo ejecutan,  al ejecutarlo por primera vez les preguntara si desean actualizar la base de datos, si disponen de una conexión a internet les recomiendo actualizar pues así sera mas seguro.
Cuando termine de actualizar les saldra algo como esto:
(http://public.avast.com/~gmerek/aswMBR1.png)

Hacemos clic en SCAN para que comience el análisis, al terminar el análisis tendremos  tres opciones, que son: FixMBR, Save Log y Exit. La primera vez que lo ejecutamos solo podemos RESTAURAR EL MBR y para ello hacemos click en FixMbr.
(http://public.avast.com/~gmerek/aswMBR4.png)

Posterior a esto reiniciamos el equipo y repetimos el proceso. Los archivos sospechosos aparecerán en rojo, y tenemos la opción de guardar un log para compartirlo en foros como este donde personas puedan ir sumando sus experiencias.

Saludos Familia.

Me encanto este comentario: Si yo tengo una manzana y tu tienes otra e intercambiamos, al final tendremos 1 manzana cada uno. Pero si yo tengo una idea y tu tienes otra e intercambiamos, al final tendremos 2 ideas cada uno" Me encanta la matematica...

Ey, Gracias por la informacion, me ha gustado la guia, la tendre en cuenta para cuando lo necesite.

Buenísimo, gracias. Estos virus son muy jodidos y complicados de eliminar asi que voy a tener en cuenta este tema.

Saludos.

Buen aporte :P Saludos!!

...pero esta  herramienta   elimina  el virus  o  solo  te detalla   ubicacion  o nombre
elimina o no ?

Buen Post  ;D

Saludos "Edu" mucho tiempo sin saber de ti man.. Edu queria saber si aun tenias acceso al hosting de la escuelita, quiero recuperar unos cuantos papers que postee.


La elimina y restaura el MBR a su esta normal.

Good!
Thankyou

Si te digo la verdad nunca me he topado con un virus así de jodido pero si nadie me dice nada de como eliminarlo mi opción sería ir a comprar directamnete otro hdd.

Gracias a dios que Avast nos aporta esta herramienta que si no ya hubiera tirado mucho dinero por el retrete.

Gran aporte socio!

jejej tienes razon man, pero existen cosas peores, por ejemplo el virus Mebromi ataca el BIOS del motherboard, modificando el codigo y auto-lanzandose desde este, en un caso de infeccion completa del "Mebromi" incluso cambiar de disco duro seria inutil.

Aqui (http://www.zonavirus.com/noticias/2011/descubierto-un-nuevo-virus-de-bios-el-mebromi.asp) te dejo un poco de informacion sobre el tema.


 :xD Gracias..

Wow!!! CloudswX  me he leido el artículo entero y que decirte, el virus MEBROMI es increible, bueno más que increible, es asombroso.

Ostias es que en principio no hay forma de solucionarlo...¿otra placa? ni pensarlo es una opción  :xD

Menos mal que por ahora solo anda por China, aunque seguramente llegará a occidente, con internet todo se extiende a velocidades increibles.

Espero que ese virus malvado jamás me llegue, prefiero ser el que infecte a otros a ser la víctima. Jajaj tengo mi punto cabroncete  :xD

Hace unos días traté con un ordenador que tenía el virus de la policía , pero estaba hecho de tal manera que no se podía acceder en modo seguro de Windows porque no dejaba...
Podría aver sido cosa de que también estaba en el MBR?

Al final lo eliminaron formateando el disco pero me he quedado con la duda :S

Saludos por alla.

Muy buen paper!, me ha gustado la herramienta de AVAST.
Gracias

oye viejo el link que pusiste lo descarge y despues no me dejaba escanear y luego de varios intentos me dio unpantallazo azul que la verdad deje de intentarlo como solo soy por el momento un aficionado mejor lo deje por la paz puedes poner otra solucion por fa saludos desde mexico  :o

Saludos "alber76" pues la pregunta logica que se me ocurre es:

Padeces algun sintoma que te indique que tienes una infeccion en el MBR?
Que tipo de pantallazo azul?
Que windows tienes?

Publica esta info y con mucho gusto te ayudo hermano.

Saludos por alla.

Excelente

Buenas, felicidades antes de nada y ahora una duda que me a surgido sobre el MBR, y es la siguiente ¿si solamente tengo un sistema operativo funciona el MBR? tengo entendido que la función de MBR es la de seleccionar el sistema operativo que queremos utilizar cuando tenemos instalado más de uno, si solamente tengo uno el MBR funciona pero accede únicamente al único sistema operativo y por lo tanto no lo veo? o el MBR solamente funciona cuando existen más de dos sistemas operativos instalados en el mismo HD.

Gracias y salud.

Pues el MBR siempre esta funcionando, aunque solo tengas un sistema operativo instalado. Imagina que tienes windows instalado con el disco particionado. El MBR es el encargado de confirmar cual de las particiones tiene un active flag valido, para posteriormente cargar y correr el boot.ini de dicho sistema. Pero mas lejos aun, imagina que tienes windows instalado con un solo disco sin particionar  :huh: , de igual modo el MBR buscara un disco duro valido para poder iniciar el sistema.


Saludos por allá hermano

hola amigos , he utilizado la erramienta de abast y he encontrado malware en el bmr




aswMBR version 1.0.1.2041 Copyright(c) 2014 AVAST Software
Run date: 2014-10-06 19:58:01
-----------------------------
19:58:01.171    OS Version: Windows x64 6.1.7601 Service Pack 1
19:58:01.171    Number of processors: 2 586 0x603
19:58:01.172    ComputerName: PILAR-PC  UserName: Pilar
19:58:02.029    Initialize success
19:58:02.030    VM: initialized successfully
19:58:02.049    VM: Amd CPU supported virtualized
19:58:18.216    VM: supported disk I/O storport.sys
19:58:21.549    AVAST engine defs: 14100600
19:58:32.980    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005c
19:58:32.987    Disk 0 Vendor: WDC_WD50 05.0 Size: 476940MB BusType: 3
19:58:33.082    Disk 0 MBR read successfully
19:58:33.089    Disk 0 MBR scan
19:58:33.100    Disk 0 Windows 7 default MBR code
19:58:33.109    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        17000 MB offset 2048
19:58:33.124    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 34818048
19:58:33.128    Disk 0 default boot code
19:58:33.143    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       229918 MB offset 35022848
19:58:33.168    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       229920 MB offset 505894912
19:58:33.199    Disk 0 scanning C:\Windows\system32\drivers
19:58:40.724    Service scanning
19:58:58.479    Modules scanning
19:58:58.497    Disk 0 trace - called modules:
19:58:58.529    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll nvstor64.sys
19:58:58.541    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80044ae470]
19:58:58.555    3 CLASSPNP.SYS[fffff8800194343f] -> nt!IofCallDriver -> [0xfffffa80043a37a0]
19:58:58.561    5 ACPI.sys[fffff88000f177a1] -> nt!IofCallDriver -> \Device\0000005c[0xfffffa80043a3060]
19:58:59.450    AVAST engine scan C:\Windows
19:59:01.459    AVAST engine scan C:\Windows\system32
20:01:24.788    AVAST engine scan C:\Windows\system32\drivers
20:01:42.908    AVAST engine scan C:\Users\Pilar
20:03:24.949    File: C:\Users\Pilar\AppData\Local\Temp\tex.exe  **INFECTED** Win32:Malware-gen
20:05:16.955    AVAST engine scan C:\ProgramData
20:07:27.179    Scan finished successfully
20:09:15.643    Verifying
20:09:25.672    Disk 0 Windows 601 MBR fixed successfully
20:11:05.842    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005c
20:11:05.857    Disk 0 Vendor: WDC_WD50 05.0 Size: 476940MB BusType: 3
20:11:06.039    Disk 0 MBR read successfully
20:11:06.044    Disk 0 MBR scan
20:11:06.048    Disk 0 Windows 7 default MBR code
20:11:06.059    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        17000 MB offset 2048
20:11:06.082    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 34818048
20:11:06.093    Disk 0 default boot code
20:11:06.109    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       229918 MB offset 35022848
20:11:06.135    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       229920 MB offset 505894912
20:11:06.241    Disk 0 scanning C:\Windows\system32\drivers
20:11:22.910    Service scanning
20:11:38.221    Modules scanning
20:11:38.244    Disk 0 trace - called modules:
20:11:38.278    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll nvstor64.sys
20:11:38.292    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80044ae470]
20:11:38.305    3 CLASSPNP.SYS[fffff8800194343f] -> nt!IofCallDriver -> [0xfffffa80043a37a0]
20:11:38.313    5 ACPI.sys[fffff88000f177a1] -> nt!IofCallDriver -> \Device\0000005c[0xfffffa80043a3060]
20:11:38.916    AVAST engine scan C:\Windows
20:11:44.324    AVAST engine scan C:\Windows\system32
20:13:41.390    AVAST engine scan C:\Windows\system32\drivers
20:13:51.014    AVAST engine scan C:\Users\Pilar
20:15:08.494    File: C:\Users\Pilar\AppData\Local\Temp\tex.exe  **INFECTED** Win32:Malware-gen
20:16:34.225    AVAST engine scan C:\ProgramData
20:17:32.146    Scan finished successfully
20:21:40.551    Disk 0 MBR has been saved successfully to "C:\Users\Pilar\Documents\MBR.dat"
20:21:40.556    The log file has been saved successfully to "C:\Users\Pilar\Documents\aswMBR.txt"


pero lo vuelvo a pasar y siempre me sale el archivo infectado, alguien sabe por que?

Después que lo encuentras infectado que opción seleccionas?


Enviado desde iOS utilizando Tapatalk.

Hola tienes virtualización:


Seguistes los pasos indicados aquí:

http://public.avast.com/~gmerek/aswMBR.htm

Fix MBR.

También tienes otras alternativas:

MBR rootkit detector:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/mbr/mbr.exe

Avira Boot Sector Removal Tool:
- Web: http://www.avira.com/en/download/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool/product/avira-boot-sector-repair-tool
- D.Directa: http://dlpro.antivir.com/down/windows/bootwizard.exe

Aquí tienes Antibootkit por si hubiese algo más en el sistema:

AVG Bootkit Removal Tool:
- Web: http://free.avg.com/es-es/remove-win32-bootkit
- D.Directa: http://download.avg.com/filedir/util/avgrem/avg_remover_bootkit.exe

BitDefender Bootkit Removal Tool:
- Web: http://www.hotforsecurity.com/download/bitdefender-bootkit-removal-tool-32-bit-and-64-bit
- D.Directa: http://www.hotforsecurity.com/?downloadkey=804a5265650d8145d9b094c2b62cfe60&file=19

PD: @carloscoronas, intentad crear un tema nuevo, en caso de solucionarse puede quedar expuesto y ha vista de otros usuarios que se vean ante situaciones similares.

Saludos.

bueno, ante todo muchas gracias por la atencion recibida.

el problema ya se ha solucionado, y a no ser que haya algo oculto el ordenador parece totalmente limpio.

tengo otro ordenador que de tanto bicho parece la casa de la familia monster y no me hago con el, le he pasado el aswbmr y me salen 4 conceptos en amarillo y pone "looked" y uno en rojo " unknow"
abrire un ulo nuevo con el report para que lo veais,

como me aconsejais que titule el hilo para que sea de mas ayuda ara otros que les suceda igual?

hola... es la primera vez que me comunico por este medio asi que perdón por los horrores que cometa.. espero puedan ver el archivo que adjunto es el aswmbr.txtaswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2016-06-29 12:06:39
-----------------------------
12:06:39.381    OS Version: Windows x64 6.2.9200
12:06:39.381    Number of processors: 2 586 0x3A09
12:06:39.381    ComputerName: DANIELR  UserName: Daniel
12:06:39.959    Initialize success
12:10:37.221    AVAST engine defs: 16062900
12:10:45.768    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000003d
12:10:45.784    Disk 0 Vendor: TOSHIBA_MQ01ABD050 AX001A Size: 476940MB BusType: 11
12:10:45.925    Disk 0 MBR read successfully
12:10:45.925    Disk 0 MBR scan
12:10:45.956    Disk 0 Windows 7 default MBR code
12:10:45.972    Disk 0 Partition 1 80 (A) 07      HPFS/NTFS NTFS          350 MB offset 2048
12:10:45.972    Disk 0 Partition 2 00     07      HPFS/NTFS NTFS       153650 MB offset 718848
12:10:46.018    Disk 0 Partition 3 00     07      HPFS/NTFS NTFS       322939 MB offset 315394048
12:10:46.143    Disk 0 scanning C:\Windows\system32\drivers
12:10:57.613    Service scanning
12:11:26.927    Modules scanning
12:11:26.927    Disk 0 trace - called modules:
12:11:26.958    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys storahci.sys hal.dll
12:11:26.974    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800438b060]
12:11:26.989    3 CLASSPNP.SYS[fffff88000b4fe0a] -> nt!IofCallDriver -> [0xfffffa8003d52e40]
12:11:26.989    5 ACPI.sys[fffff88001001a91] -> nt!IofCallDriver -> \Device\0000003d[0xfffffa8003d50060]
12:11:27.552    AVAST engine scan C:\Windows
12:11:29.630    AVAST engine scan C:\Windows\system32
12:14:18.107    AVAST engine scan C:\Windows\system32\drivers
12:14:30.546    AVAST engine scan C:\Users\Daniel
12:28:04.072    AVAST engine scan C:\ProgramData
12:28:52.277    Disk 0 statistics 3612411/0/0 @ 1,98 MB/s
12:28:52.293    Scan finished successfully
12:39:41.045    Disk 0 MBR fix error
12:39:55.124    Disk 0 MBR has been saved successfully to "C:\Users\Daniel\Downloads\MBR.dat"
12:39:55.155    The log file has been saved successfully to "C:\Users\Daniel\Downloads\aswMBR.txt"


espero su ayuda y comentarios a fin de poder eliminar el virus que esta enlenteciendo mi pc... desde ya muchas gracias