Академический Документы
Профессиональный Документы
Культура Документы
http://www.vsantivirus.com/fdisk-mbr.htm
Este artculo, publicado por primera vez en setiembre de 2001 (*), con el ttulo "FDISK /MBR y los
virus", originalmente solo pretenda dar algunas explicaciones sobre la recuperacin de ciertas
infecciones en el sector maestro de arranque (MBR), con el uso del comando FDISK /MBR. Ante las
diversas consultas recibidas, hemos ampliado esta descripcin, para dar algunas pautas de
recuperacin en sistemas que utilizan tambin NTFS, y que no tienen un acceso desde MS-DOS.
Tal vez, si sufri alguna vez la accin de un virus de sector de booteo, o de arranque, haya utilizado la
orden FDISK /MBR para su remocin. Sin embargo, es importante conocer un poco ms de este
comando, antes de usarlo tan abiertamente.
El comando FDISK /MBR (Windows 95, 98 y Me), se limita a sobrescribir lo que se conoce como
Master Boot Record (MBR) o sector maestro de arranque.
El MBR no es otra cosa que un pequeo programa (en assembler) que el sistema operativo utiliza
para iniciarse, y que est presente en el primer sector de las particiones primarias, y en cualquier
sector de particiones extendidas de arranque.
El Master Boot Record es cargado automticamente por el BIOS cuando se inicia el sistema desde C:.
Este pequeo programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y
determinar cul es la particin preparada para arrancar (booteable), pasar de disco a memoria el
sector de arranque de sta (boot sector), y darle a ste el control para que se ejecute y cargue el
sistema operativo.
Como todo programa, el MBR puede ser modificado por un virus, de modo que ste ltimo tome el
control cada vez que se inicie la computadora, (quedando en memoria), y luego contine con el
comportamiento aparentemente normal del sistema.
El comando FDISK /MBR, es una opcin no documentada que vuelve a crear un Master Boot Record
(MBR) en el disco duro (vuelve a colocar all el programa de arranque original).
Pero deben tomarse ciertas precauciones antes de usarlo. Y adems, es recomendable hacerlo desde
un disquete de arranque, para no darle al virus la oportunidad de que se ejecute y se cargue en
memoria. Adems el virus pudo haber modificado la "Tabla de Particiones" (los datos necesarios para
encontrar y manejar la informacin guardada en el duro) y tomar el control una vez iniciado.
Cmo dijimos, debemos arrancar la computadora desde un disquete limpio (creado anteriormente a
cualquier infeccin, o en otra mquina limpia). Si luego de esto, podemos acceder al disco C:\ con un
simple DIR C: desde A: (solo si el sistema es FAT o FAT32), entonces podemos aplicar el comando
FDISK /MBR.
Debemos tener muy en cuenta que un virus puede desviar las llamadas de escritura al MBR infectado
y redireccionarlas al sector que contiene el MBR original. As, al hacer un FDISK /MBR estaramos
sobrescribiendo el MBR original pero el virus quedara intacto.
Algunas nociones
El sector de particin del disco duro en una particin primaria, se localiza en su primer sector fsico
(0,0,1). En ese sector se encuentran "normalmente" dos elementos esenciales para el buen
funcionamiento de nuestra computadora. Uno de ellos es el MBR o Sector de Particin (cdigo
ejecutable). El otro es la Tabla de Particiones (que son datos).
El problema surge cuando por alguna razn el formato de dicho sector no corresponde al estndar
establecido ya sea por infeccin viral, corrupcin o simplemente porque ese sector se escribi bajo
otro estndar por un programa anlogo al FDISK de un tercero o bien por otro sistema operativo.
Analicemos el caso de infeccin por algn virus, como por ejemplo el bastante veterano "Monkey". El
sector de particin ser reemplazado completamente por el cdigo del virus quien habr encriptado
dicho sector y lo habr escrito en otro lugar del disco. En otras palabras, el virus se ha "robado" la
informacin esencial del disco y slo dejar que el usuario vea el disco duro cuando el virus est
presente, es decir cuando arranca con el disco duro. Qu pasara entonces si en este caso usamos
FDISK /MBR?. Estaramos borrando la primera parte del virus sin restaurar la particin, por lo que
ahora no podramos ver el disco duro, ni con virus ni sin l!.
En otras palabras, si luego de los pasos mencionados (booteo con disquete limpio, hacer un DIR
desde, antivirus, leer disco C:\) no han habido errores, haciendo FDISK /MBR volvemos a escribir un
Master Boot Record LIMPIO. Si es un virus el que modific esto, podremos limpiarlo con este
comando de FDISK, SOLAMENTE si podemos leer el disco C: arrancando desde un disquete LIMPIO
y sin virus EN MEMORIA.
En Windows 95, 98 y Me, el FDISK /MBR regenera automticamente el Master Boot Record del disco
duro sin pedir confirmacin. Usarlo es una manera rpida de eliminar los virus que hayan infectado el
registro de arranque.
Ahora bien, si el disco fue particionado usando la herramienta FDISK en esos sistemas operativos,
que es lo mas recomendable, no existe ningn riesgo en usar la opcin FDISK con los parmetros
/MBR (adems de lo ya explicado). Pero si el disco fue particionado por alguna utilera como DISK
MANAGER, EZ etc. que montan un OVERLAY para que las bios de mquinas mas viejas puedan ser
engaadas y reconocer discos duros mayores a 512Mb, 8Gb, 30 Gb, etc., entonces usando el
FDISK /MBR estaremos borrando este OVERLAY y el disco puede quedar inaccesible o con un
tamao menor.
Un OVERLAY es un programa que interpreta los datos reales que no puede ver el BIOS, para drselos
(interceptando los pedidos que el Sistema Operativo hace al BIOS), de modo que el SO pueda
manejar adecuadamente el tamao real del duro, etc.
Si iniciamos desde un disquete, y no vemos el disco duro con un DIR C:, tambin podra deberse al
uso de un OVERLAY, o a que se est utilizando un tipo de sistema de archivos diferente a FAT (por
ejemplo NTFS en Linux, Windows NT, 2000, XP o 2003).
Finalmente, recuerde que existen virus como el CIH que no se cargan en el MBR. El CIH es un virus
que infecta archivos ejecutables de 32-bit (todos los Windows superiores al ya 3.x), y cuando un
programa infectado se ejecuta, el virus infectar la memoria de la computadora y luego otros archivos.
Luego, entre sus rutinas destructivas (las que se activan ciertos das como el 26 de abril), estn las de
borrar el disco duro (el MBR y un rea determinada de datos).
Por el contrario un sistema bajo particiones FAT o FAT32, carece totalmente de este tipo de proteccin
en los archivos, siendo estos accesibles por cualquier usuario que use el sistema.
Aunque el MBR (Master Boot Record), no es ni FAT ni NTFS (es solo un cdigo ejecutable grabado en
un sector especial del disco), existen comandos diferentes para recuperarlo.
Cuando se tienen problemas en una particin NTFS bajo Windows NT, 2000 y XP, se requiere el uso
de la consola de recuperacin, para acceder a estas particiones desde un disco de inicio.
Se aconseja que usted se familiarice con sta, mientras su sistema est an sano.
Existen varias formas de iniciar la consola de recuperacin, aqu le mostramos dos de ellas.
2. Arrancar desde el CD, si el CD es booteable, y su BIOS lo soporta (en instalaciones con Windows
XP esta suele ser la mejor opcin, porque este sistema requiere hardware que suele estar preparado
para ello). En ese caso seleccione la opcin REPARAR (generalmente pulsando "R" cuando se le
pregunte).
Ms informacin:
Para empezar, configure su computadora (BIOS) para que inicie desde un disquete. Esto puede estar
como "1st Boot Device" (hay que poner Floppy y en "2nd Boot Device" hay que poner IDE-0), o como
"Boot Sequence" o similar, y debe estar como: A: -> C:.
Luego, con un disco de inicio, del mismo sistema operativo del instalado en su PC (Windows 95, 98,
98 Segunda Edicin, Me, etc.), creado en una mquina LIMPIA de virus, inicie la computadora con
dicho disquete insertado en la disquetera A:. Eso hara que se iniciara en A: y no en C:
Si el disco C: se ve (sale el listado de los directorios en C:), teclee lo siguiente (siempre desde A:):
FDISK /MBR
Para crear un disquete de inicio en una mquina limpia con Windows 95/98, lo ms fcil es hacerlo
desde Panel de Control, Agregar o quitar programas, lengeta "Disco de inicio".
El sector de arranque es un cdigo ejecutable que informa al sistema que archivo se deber cargar al
iniciar el proceso de arranque. Es lo que el MBR ejecuta en primer trmino.
Por ejemplo, en Windows 95, 98, Me, el sector de arranque le dice al sistema que comience la
ejecucin del archivo IO.SYS, mientras que en NT, 2000, XP, ese primer archivo es NTLDR.
Cmo el sector de arranque es un programa, puede ser infectado por un virus. Un virus de sector de
arranque (boot sector virus), puede reemplazar el programa original por uno propio, tomando el
control.
Algunos virus realizan un respaldo del sector de arranque original en el momento de la infeccin. Para
limpiar una infeccin, el uso de un antivirus es lo ms recomendable, ya que ste suele saber donde
almacena cada virus el sector de arranque original y reponerlo, siempre que no haya sido modificado
(evidentemente, no todos los virus tienen el mismo comportamiento).
En el caso de que desee (o necesite) recuperar el sector de arranque manualmente, siga estos pasos.
Windows 95, 98 y Me
SYS C:
MUY IMPORTANTE!!!, antes de esto, DEBE estar MUY SEGURO que el disquete de inicio es del
MISMO SISTEMA OPERATIVO INSTALADO EN C:\
Para crear un disquete de inicio en una mquina limpia con Windows 95/98, lo ms fcil es hacerlo
desde Panel de Control, Agregar o quitar programas, lengeta "Disco de inicio".
Cualquier proteccin a ese nivel, solo ocurrir cuando Windows est cargado (proteccin de escritura
en el "boot sector" por ejemplo), pero no cuando arranca el PC.
De all que se deban tomar precauciones para evitar que un equipo se infecte por ese descuido.
En las opciones de Setup del BIOS, debe buscar y habilitar (si no lo estuviera), la opcin "Boot
Sequence" o similar como "C, A..." etc. o "C: -> A:", o "1st Boot Device" como "IDE-0", "2nd Boot
Device" como "Floppy", o la que corresponda en su caso. Deber grabar los cambios y salir para
reiniciar la computadora. Generalmente podr hacerlo pulsando F10, o siguiendo las instrucciones en
pantalla.
Comentario final
Existen muchos virus de arranque antiguos que a pesar de infectar el MBR o el sector de arranque, no
podrn funcionar en Windows, porque estn designados para ejecutarse en modo real (DOS) y no
protegido.
Relacionados:
Nombre: Chan
Alias: SSS/Chan
Variantes: Chan.B
Fecha: 1/nov/97
Actualizado: 23/nov/03
Tipo: Virus de boot
Se trata de un virus residente en memoria, que infecta el sector de arranque (boot sector) de un disquete y el
Master Boot Record (registro maestro de arranque) de los discos duros.
Cuando el virus est residente en memoria, decrece notoriamente la memoria disponible. Sin embargo, el virus no
posee ninguna rutina destructiva, salvo la infeccin propiamente dicha.
La nica manera de infectar a una computadora, es al intentar arrancar la PC desde un disquete infectado. El
sector de arranque de un disquete posee un cdigo que determina si el mismo es arrancable, y en caso de no serlo,
muestra el mensaje "Non-system disk or disk error".
Tenga en cuenta que si el disquete est infectado, la aparicin de dicho mensaje ocurre despus que el virus ya se
ejecut e infect el Master Boot Record (MBR) del disco duro.
Cada vez que se inicia la computadora con el MBR infectado, el virus queda residente en memoria, e intenta
infectar cada disquete accedido por la mquina.
Puede utilizar el siguiente mtodo de limpieza:
Descargar (en una mquina limpia), la siguiente herramienta gratuita de McAfee (1.08 Mb):
http://download.nai.com/products/mcafee-avert/em_dats/emscan.zip
internet.dat
Bootscan.exe
License.dat
Messages.dat
clean.dat
names.dat
scan.dat
emergency.txt
VALIDATE
Iniciar la computadora infectada con un disquete de inicio limpio y protegido, creado en una computadora limpia.
Luego que aparezca el smbolo de sistema (A:\), siga estos procedimientos:
Nota:
Con un antivirus actualizado, limpie todos los disquetes que haya utilizado en la computadora infectada.
Relacionados:
Informacin adicional
Para poder ver las extensiones verdaderas de los archivos y adems visualizar aquellos con atributos de "Oculto",
proceda as:
2. Seleccione el men 'Ver' (Windows 95/98/NT) o el men 'Herramientas' (Windows Me/2000/XP), y pinche en
'Opciones' u 'Opciones de carpetas'.
4. DESMARQUE la opcin "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opcin "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas
ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de
su computadora, deber deshabilitar antes de cualquier accin, la herramienta "Restaurar sistema" como se indica
en estos artculos:
2. Salir escribiendo "Salir" y pulse "cuando haya terminado. . El ordenador se reinicia automticamente ahora.
Ejecute un anlisis completo del sistema limpio y / borrar todos los archivos infectados (s)
Fuente(s):
http://translate.google.com.ar/translate
ola
En los dos sectores anteriores al ltimo, de la primera pista, el virus graba una copia (no encriptada, cifrada o codificada) del
sector de arranque (sector 1, cara 1, pista 0).
Respecto a al infeccin de disquetes, el sector inicial de virus es copiado sobre el primer sector absoluto del disquete. La copia
del boot original (primer sector del disquete) la almacena en el sector anteltimo, correspondiente a la entrada del directorio raz
(dicha zona se considera reservada en el disquete). El segundo sector que conforma el resto del virus, tambin es copiado en la
entrada del directorio raz del disquete (en concreto en el ltimo sector disponible).
Parte de su cdigo vrico se encuentra encriptado (cifrado o codificado) mediante una funcin simple con mscara de un byte. El
cuerpo completo del virus ocupa dos sectores del medio que infecta (disquetes y discos duros).
Comentarios adicionales: Utiliza tcnicas de ocultamiento (stealth) para evitar ser descubierto. Al colocarse como residente en
memoria, reduce en dos kilobytes la cantidad de memoria convencional que se puede ver desde MS-DOS. Al mismo tiempo,
copia su cdigo vrico en la zona superior de la memoria convencional y se queda residente en ella.
El interior del cdigo vrico, contiene una cadena de texto como la siguiente: 31/03/98 WYX.
No se conoce ningun sintoma o dao que provoque este virus, en realidad solo se reproduce como "conejito", por eso es uno de
lo virus mas propagados...
Indicaciones de infeccin: Al realizar la infeccin de un disco duro, copia en los ltimos sectores de la primera pista, el Boot y
Master Boot Record originales. Adems tambin dejar en ella el segundo sector del virus. Esto hace posible recuperarlos para
realizar correctamente el arranque del equipo.
Metodo de infeccion: Si un disco duro es infectado, con cada reinicio del sistema, el virus seguir residente, e intentar infectar
todos aquellos discos extrables (diskettes) que sean utilizados. No realiza infeccin de ficheros, sino exclusivamente de los
sectores de arranque correspondientes a los discos infectados. Esto implica que el nico mtodo de propagacin posible es
mediante disquetes, con el boot infectado.
NOTAS PARA ELIMINACION:
IMPORTANTE:
1- Si lo que est infectado es el MBR o el Boot del disco duro es IMPORTANTE que se elimine el virus buteando en DOS desde
un disco de sistema LIMPIO en A:, una vez que aparece el prompt del DOS ejecutar el programa TH.EXE desde el disquete "1
de 2" de The Hacker 5.2(Actualizado)
Si lo que est infectado es el Boot de un disquete puede eliminar el virus desde el mismo Windows, asegrarse que el disquete
se encuentre desprotegido, est es una recomendacin un poco tonta pero no est dems recordarlo, muchas veces uno
asume cosas obvias. Tambin se puede utilizar la opcin "Reparar Boot" del men
2- Para eliminar un virus (cualquiera) es OBLIGATORIO que el antivirus tenga el ltimo registro de virus (TH.DAT) y MUY
IMPORTANTE tenga el ltimo Virus Scanner Engine
A la fecha estamos en el registro de virus del 06/04/2002 y Virus Scanner Engine 5.2.1. Para actualizar su disquete de The
Hacker "1 de 2" baje la actualizacin para DOS en la seccin actualizaciones (archivo th52dos.zip)
El virus WXY.C es un simple virus de MBR y Boot por lo no hay especiales requerimientos para eliminarlo excepto:
2- El registro de virus y Virus Scanner Engine (muy importante) deben tener por lo menos la fecha al 06 de Abril del 2002.
Realice lo siguiente:
2- A la aparicin del prompt del DOS inserte el disquete "1 de 2" de The Hacker y ejecute el programa TH.EXE
3- VERIFICAR que la fecha de registro de virus y Virus Scanner Engine esten al 06 de Abril del 2002(Virus Scanner Engine =:
5.2.1).
Ir al men "Ayuda / Acerca de"
Qu es un sector de arranque?
Todos los discos y los discos duros se dividen en pequeos sectores.El primer sector se denomina el
sector de arranque y contiene el Master Boot Record (MBR). El MBR contiene la informacin relativa a la
ubicacin de las particiones en la unidad y la lectura de arranque de la particin del sistema operativo.
Durante la secuencia de arranque de DOS en un PC basado en la BIOS bsquedas de determinados
archivos del sistema, IO.SYS y MS-DOS.SYS. Cuando los archivos han sido localizados, entonces el BIOS
busca el primer sector en ese disco o la unidad de cargas y la necesidad de Master Boot Record
informacin en la memoria. El BIOS pasa el control a un programa en el MBR, que a su vez cargas
IO.SYS. Este ltimo archivo es el responsable de cargar el resto del sistema operativo.
Ciertos virus que se alojan en el sector de arranque y luego pasan a memoria pueden causar daos
irreparables a tu ordenador. Podrs eliminarlos con FDISK /mbr.