master boot record
Páginas: 9 (2195 palabras)
Publicado: 16 de mayo de 2013
Virus en Sectores de Arranque
http://www.vsantivirus.com/fdisk-mbr.htm
Por Jose Luis Lopez videosoft@videosoft.net.uy
Este artículo, publicado por primera vez en septiembre de 2001 (*), con el título "FDISK /MBR y los virus", originalmente solo pretendía dar algunas explicaciones sobre la recuperación de ciertas infecciones en el sector maestro de arranque (MBR), con el uso del comandoFDISK /MBR. Ante las diversas consultas recibidas, hemos ampliado esta descripción, para dar algunas pautas de recuperación en sistemas que utilizan también NTFS, y que no tienen un acceso desde MS-DOS.
Sobre FDISK /MBR y los virus
Tal vez, si sufrió alguna vez la acción de un virus de sector de booteo, o de arranque, haya utilizado la orden FDISK /MBR para su remoción. Sin embargo, esimportante conocer un poco más de este comando, antes de usarlo tan abiertamente.
El comando FDISK /MBR (Windows 95, 98 y Me), se limita a sobrescribir lo que se conoce como Master Boot Record (MBR) o sector maestro de arranque.
El MBR no es otra cosa que un pequeño programa (en assembler) que el sistema operativo utiliza para iniciarse, y que está presente en el primer sector de las particionesprimarias, y en cualquier sector de particiones extendidas de arranque.
El Master Boot Record es cargado automáticamente por el BIOS cuando se inicia el sistema desde C:. Este pequeño programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y determinar cuál es la partición preparada para arrancar (booteable), pasar de disco a memoria el sector de arranque de ésta(boot sector), y darle a éste el control para que se ejecute y cargue el sistema operativo.
Como todo programa, el MBR puede ser modificado por un virus, de modo que éste último tome el control cada vez que se inicie la computadora, (quedando en memoria), y luego continúe con el comportamiento aparentemente normal del sistema.
El comando FDISK /MBR, es una opción no documentada que vuelve acrear un Master Boot Record (MBR) en el disco duro (vuelve a colocar allí el programa de arranque original).
Pero deben tomarse ciertas precauciones antes de usarlo. Y además, es recomendable hacerlo desde un disquete de arranque, para no darle al virus la oportunidad de que se ejecute y se cargue en memoria. Además el virus pudo haber modificado la "Tabla de Particiones" (los datos necesarios paraencontrar y manejar la información guardada en el duro) y tomar el control una vez iniciado.
Cómo dijimos, debemos arrancar la computadora desde un disquete limpio (creado anteriormente a cualquier infección, o en otra máquina limpia). Si luego de esto, podemos acceder al disco C:\ con un simple DIR C: desde A: (solo si el sistema es FAT o FAT32), entonces podemos aplicar el comando FDISK/MBR.
2 de 5
Debemos tener muy en cuenta que un virus puede desviar las llamadas de escritura al MBR infectado y redireccionarlas al sector que contiene el MBR original. Así, al hacer un FDISK /MBR estaríamos sobrescribiendo el MBR original pero el virus quedaría intacto.
Algunas nociones
El sector de partición del disco duro en una partición primaria, se localiza en su primer sector físico(0,0,1). En ese sector se encuentran "normalmente" dos elementos esenciales para el buen funcionamiento de nuestra computadora. Uno de ellos es el MBR o Sector de Partición (código ejecutable). El otro es la Tabla de Particiones (que son datos).
El problema surge cuando por alguna razón el formato de dicho sector no corresponde al estándar establecido ya sea por infección viral, corrupción osimplemente porque ese sector se escribió bajo otro estándar por un programa análogo al FDISK de un tercero o bien por otro sistema operativo.
Analicemos el caso de infección por algún virus, como por ejemplo el bastante veterano "Monkey". El sector de partición será reemplazado completamente por el código del virus quien habrá encriptado dicho sector y lo habrá escrito en otro lugar del...
http://www.vsantivirus.com/fdisk-mbr.htm
Por Jose Luis Lopez videosoft@videosoft.net.uy
Este artículo, publicado por primera vez en septiembre de 2001 (*), con el título "FDISK /MBR y los virus", originalmente solo pretendía dar algunas explicaciones sobre la recuperación de ciertas infecciones en el sector maestro de arranque (MBR), con el uso del comandoFDISK /MBR. Ante las diversas consultas recibidas, hemos ampliado esta descripción, para dar algunas pautas de recuperación en sistemas que utilizan también NTFS, y que no tienen un acceso desde MS-DOS.
Sobre FDISK /MBR y los virus
Tal vez, si sufrió alguna vez la acción de un virus de sector de booteo, o de arranque, haya utilizado la orden FDISK /MBR para su remoción. Sin embargo, esimportante conocer un poco más de este comando, antes de usarlo tan abiertamente.
El comando FDISK /MBR (Windows 95, 98 y Me), se limita a sobrescribir lo que se conoce como Master Boot Record (MBR) o sector maestro de arranque.
El MBR no es otra cosa que un pequeño programa (en assembler) que el sistema operativo utiliza para iniciarse, y que está presente en el primer sector de las particionesprimarias, y en cualquier sector de particiones extendidas de arranque.
El Master Boot Record es cargado automáticamente por el BIOS cuando se inicia el sistema desde C:. Este pequeño programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y determinar cuál es la partición preparada para arrancar (booteable), pasar de disco a memoria el sector de arranque de ésta(boot sector), y darle a éste el control para que se ejecute y cargue el sistema operativo.
Como todo programa, el MBR puede ser modificado por un virus, de modo que éste último tome el control cada vez que se inicie la computadora, (quedando en memoria), y luego continúe con el comportamiento aparentemente normal del sistema.
El comando FDISK /MBR, es una opción no documentada que vuelve acrear un Master Boot Record (MBR) en el disco duro (vuelve a colocar allí el programa de arranque original).
Pero deben tomarse ciertas precauciones antes de usarlo. Y además, es recomendable hacerlo desde un disquete de arranque, para no darle al virus la oportunidad de que se ejecute y se cargue en memoria. Además el virus pudo haber modificado la "Tabla de Particiones" (los datos necesarios paraencontrar y manejar la información guardada en el duro) y tomar el control una vez iniciado.
Cómo dijimos, debemos arrancar la computadora desde un disquete limpio (creado anteriormente a cualquier infección, o en otra máquina limpia). Si luego de esto, podemos acceder al disco C:\ con un simple DIR C: desde A: (solo si el sistema es FAT o FAT32), entonces podemos aplicar el comando FDISK/MBR.
2 de 5
Debemos tener muy en cuenta que un virus puede desviar las llamadas de escritura al MBR infectado y redireccionarlas al sector que contiene el MBR original. Así, al hacer un FDISK /MBR estaríamos sobrescribiendo el MBR original pero el virus quedaría intacto.
Algunas nociones
El sector de partición del disco duro en una partición primaria, se localiza en su primer sector físico(0,0,1). En ese sector se encuentran "normalmente" dos elementos esenciales para el buen funcionamiento de nuestra computadora. Uno de ellos es el MBR o Sector de Partición (código ejecutable). El otro es la Tabla de Particiones (que son datos).
El problema surge cuando por alguna razón el formato de dicho sector no corresponde al estándar establecido ya sea por infección viral, corrupción osimplemente porque ese sector se escribió bajo otro estándar por un programa análogo al FDISK de un tercero o bien por otro sistema operativo.
Analicemos el caso de infección por algún virus, como por ejemplo el bastante veterano "Monkey". El sector de partición será reemplazado completamente por el código del virus quien habrá encriptado dicho sector y lo habrá escrito en otro lugar del...
Leer documento completo
Regístrate para leer el documento completo.