VSantivirus No.

1234 Ao 8, Domingo 23 de noviembre de 2003

Boletn tcnico: virus en sectores de arranque

http://www.vsantivirus.com/fdisk-mbr.htm Por Jose Luis Lopez videosoft@videosoft.net.uy Este artculo, publicado por primera vez en setiembre de 2001 (*), con el ttulo "FDISK /MBR y los virus", originalmente solo pretenda dar algunas explicaciones sobre la recuperacin de ciertas infecciones en el sector maestro de arranque (MBR), con el uso del comando FDISK /MBR. Ante las diversas consultas recibidas, hemos ampliado esta descripcin, para dar algunas pautas de recuperacin en sistemas que utilizan tambin NTFS, y que no tienen un acceso desde MS-DOS. Sobre FDISK /MBR y los virus Tal vez, si sufri alguna vez la accin de un virus de sector de booteo, o de arranque, haya utilizado la orden FDISK /MBR para su remocin. Sin embargo, es importante conocer un poco ms de este comando, antes de usarlo tan abiertamente. El comando FDISK /MBR (Windows 95, 98 y Me), se limita a sobrescribir lo que se conoce como Master Boot Record (MBR) o sector maestro de arranque. El MBR no es otra cosa que un pequeo programa (en assembler) que el sistema operativo utiliza para iniciarse, y que est presente en el primer sector de las particiones primarias, y en cualquier sector de particiones extendidas de arranque. El Master Boot Record es cargado automticamente por el BIOS cuando se inicia el sistema desde C:. Este pequeo programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y determinar cul es la particin preparada para arrancar (booteable), pasar de disco a memoria el sector de arranque de sta (boot sector), y darle a ste el control para que se ejecute y cargue el sistema operativo. Como todo programa, el MBR puede ser modificado por un virus, de modo que ste ltimo tome el control cada vez que se inicie la computadora, (quedando en memoria), y luego contine con el comportamiento aparentemente normal del sistema. El comando FDISK /MBR, es una opcin no documentada que vuelve a crear un Master Boot Record (MBR) en el disco duro (vuelve a colocar all el programa de arranque original). Pero deben tomarse ciertas precauciones antes de usarlo. Y adems, es recomendable hacerlo desde un disquete de arranque, para no darle al virus la oportunidad de que se ejecute y se cargue en memoria. Adems el virus pudo haber modificado la "Tabla de Particiones" (los datos necesarios para encontrar y manejar la informacin guardada en el duro) y tomar el control una vez iniciado. Cmo dijimos, debemos arrancar la computadora desde un disquete limpio (creado anteriormente a cualquier infeccin, o en otra mquina limpia). Si luego de esto, podemos acceder al disco C:\ con un simple DIR C: desde A: (solo si el sistema es FAT o FAT32), entonces podemos aplicar el comando FDISK /MBR. Debemos tener muy en cuenta que un virus puede desviar las llamadas de escritura al MBR infectado y redireccionarlas al sector que contiene el MBR original. As, al hacer un FDISK /MBR estaramos sobrescribiendo el MBR original pero el virus quedara intacto. Algunas nociones El sector de particin del disco duro en una particin primaria, se localiza en su primer sector fsico (0,0,1). En ese sector se encuentran "normalmente" dos elementos esenciales para el buen funcionamiento de nuestra computadora. Uno de ellos es el MBR o Sector de Particin (cdigo ejecutable). El otro es la

Tabla de Particiones (que son datos). El problema surge cuando por alguna razn el formato de dicho sector no corresponde al estndar establecido ya sea por infeccin viral, corrupcin o simplemente porque ese sector se escribi bajo otro estndar por un programa anlogo al FDISK de un tercero o bien por otro sistema operativo. Analicemos el caso de infeccin por algn virus, como por ejemplo el bastante veterano "Monkey". El sector de particin ser reemplazado completamente por el cdigo del virus quien habr encriptado dicho sector y lo habr escrito en otro lugar del disco. En otras palabras, el virus se ha "robado" la informacin esencial del disco y slo dejar que el usuario vea el disco duro cuando el virus est presente, es decir cuando arranca con el disco duro. Qu pasara entonces si en este caso usamos FDISK /MBR?. Estaramos borrando la primera parte del virus sin restaurar la particin, por lo que ahora no podramos ver el disco duro, ni con virus ni sin l!. En otras palabras, si luego de los pasos mencionados (booteo con disquete limpio, hacer un DIR desde, antivirus, leer disco C:\) no han habido errores, haciendo FDISK /MBR volvemos a escribir un Master Boot Record LIMPIO. Si es un virus el que modific esto, podremos limpiarlo con este comando de FDISK, SOLAMENTE si podemos leer el disco C: arrancando desde un disquete LIMPIO y sin virus EN MEMORIA. En Windows 95, 98 y Me, el FDISK /MBR regenera automticamente el Master Boot Record del disco duro sin pedir confirmacin. Usarlo es una manera rpida de eliminar los virus que hayan infectado el registro de arranque. Ahora bien, si el disco fue particionado usando la herramienta FDISK en esos sistemas operativos, que es lo mas recomendable, no existe ningn riesgo en usar la opcin FDISK con los parmetros /MBR (adems de lo ya explicado). Pero si el disco fue particionado por alguna utilera como DISK MANAGER, EZ etc. que montan un OVERLAY para que las bios de mquinas mas viejas puedan ser engaadas y reconocer discos duros mayores a 512Mb, 8Gb, 30 Gb, etc., entonces usando el FDISK /MBR estaremos borrando este OVERLAY y el disco puede quedar inaccesible o con un tamao menor. Un OVERLAY es un programa que interpreta los datos reales que no puede ver el BIOS, para drselos (interceptando los pedidos que el Sistema Operativo hace al BIOS), de modo que el SO pueda manejar adecuadamente el tamao real del duro, etc. Si iniciamos desde un disquete, y no vemos el disco duro con un DIR C:, tambin podra deberse al uso de un OVERLAY, o a que se est utilizando un tipo de sistema de archivos diferente a FAT (por ejemplo NTFS en Linux, Windows NT, 2000, XP o 2003). Finalmente, recuerde que existen virus como el CIH que no se cargan en el MBR. El CIH es un virus que infecta archivos ejecutables de 32-bit (todos los Windows superiores al ya 3.x), y cuando un programa infectado se ejecuta, el virus infectar la memoria de la computadora y luego otros archivos. Luego, entre sus rutinas destructivas (las que se activan ciertos das como el 26 de abril), estn las de borrar el disco duro (el MBR y un rea determinada de datos). Sobre Windows NT, 2000, XP y Server 2003 con NTFS NTFS es un tipo de sistema de archivos propietario de Windows NT (utilizado tambin en Windows 2000, XP y 2003), del mismo modo que FAT y FAT32 lo son de Windows 9x y Me. NTFS implementa seguridad a nivel de archivo. Cada archivo o directorio posee su lista de control de acceso (ACL) conocindose en todo momento quien tiene derechos sobre l, lo que permite especificar claramente los permisos para el uso de cualquier archivo. Por el contrario un sistema bajo particiones FAT o FAT32, carece totalmente de este tipo de proteccin en los archivos, siendo estos accesibles por cualquier usuario que use el sistema. Aunque el MBR (Master Boot Record), no es ni FAT ni NTFS (es solo un cdigo ejecutable grabado en un sector especial del disco), existen comandos diferentes para recuperarlo. Acerca de la Consola de Recuperacin

Cuando se tienen problemas en una particin NTFS bajo Windows NT, 2000 y XP, se requiere el uso de la consola de recuperacin, para acceder a estas particiones desde un disco de inicio. Se aconseja que usted se familiarice con sta, mientras su sistema est an sano. Existen varias formas de iniciar la consola de recuperacin, aqu le mostramos dos de ellas. 1. Iniciar desde disquetes de inicio, utilizar el CD de instalacin y ejecutar /I386/WINNT.EXE (desde el DOS), o /I386/WINNT32.EXE (desde Windows). 2. Arrancar desde el CD, si el CD es booteable, y su BIOS lo soporta (en instalaciones con Windows XP esta suele ser la mejor opcin, porque este sistema requiere hardware que suele estar preparado para ello). En ese caso seleccione la opcin REPARAR (generalmente pulsando "R" cuando se le pregunte). Ms informacin: Utilizacin de la Consola de Recuperacin en Windows XP http://www.vsantivirus.com/consola-recuperacion-xp.htm Qu hacer ante un virus en el sector de booteo Recuperar MBR en Windows 95, 98, Me Para empezar, configure su computadora (BIOS) para que inicie desde un disquete. Esto puede estar como "1st Boot Device" (hay que poner Floppy y en "2nd Boot Device" hay que poner IDE-0), o como "Boot Sequence" o similar, y debe estar como: A: -> C:. Luego, con un disco de inicio, del mismo sistema operativo del instalado en su PC (Windows 95, 98, 98 Segunda Edicin, Me, etc.), creado en una mquina LIMPIA de virus, inicie la computadora con dicho disquete insertado en la disquetera A:. Eso hara que se iniciara en A: y no en C: Desde all, pruebe a hacer un DIR C: Si el disco C: se ve (sale el listado de los directorios en C:), teclee lo siguiente (siempre desde A:): FDISK /MBR Para crear un disquete de inicio en una mquina limpia con Windows 95/98, lo ms fcil es hacerlo desde Panel de Control, Agregar o quitar programas, lengeta "Disco de inicio". Windows NT, 2000, XP, 2003 En Windows NT, 2000, XP y Server 2003, arranque desde un disquete o CD de inicio, seleccione la opcin RECUPERAR para entrar a la consola de recuperacin cmo se explic antes, y cuando sta se inicie, ejecute el comando FIXMBR para reparar el Master Boot Record. Escriba HELP para obtener la ayuda de los comandos (se le requerir la contrasea de administrador). Recuperar sector de arranque (Boot Sector) El sector de arranque es un cdigo ejecutable que informa al sistema que archivo se deber cargar al iniciar el proceso de arranque. Es lo que el MBR ejecuta en primer trmino. Por ejemplo, en Windows 95, 98, Me, el sector de arranque le dice al sistema que comience la ejecucin del archivo IO.SYS, mientras que en NT, 2000, XP, ese primer archivo es NTLDR. Cmo el sector de arranque es un programa, puede ser infectado por un virus. Un virus de sector de arranque (boot sector virus), puede reemplazar el programa original por uno propio, tomando el control. Algunos virus realizan un respaldo del sector de arranque original en el momento de la infeccin. Para

limpiar una infeccin, el uso de un antivirus es lo ms recomendable, ya que ste suele saber donde almacena cada virus el sector de arranque original y reponerlo, siempre que no haya sido modificado (evidentemente, no todos los virus tienen el mismo comportamiento). En el caso de que desee (o necesite) recuperar el sector de arranque manualmente, siga estos pasos. Windows 95, 98 y Me Inicie desde un disquete de inicio, creado previamente en una mquina limpia. Desde la lnea de comandos (A:\), ejecute esta orden: SYS C: MUY IMPORTANTE!!!, antes de esto, DEBE estar MUY SEGURO que el disquete de inicio es del MISMO SISTEMA OPERATIVO INSTALADO EN C:\ Para crear un disquete de inicio en una mquina limpia con Windows 95/98, lo ms fcil es hacerlo desde Panel de Control, Agregar o quitar programas, lengeta "Disco de inicio". Windows NT, 2000, XP, 2003 Arranque la computadora desde un disquete o CD de inicio, seleccione la opcin RECUPERAR para entrar a la consola de recuperacin, y cuando esta se inicie, ejecute el comando FIXBOOT para reparar el Boot Sector o sector de arranque (se le requerir la contrasea de administrador). Cmo proteger el sector de arranque contra virus. El sistema de archivos NTFS no es reconocido hasta que Windows no arranca su servicio de reconocimiento de archivos, del mismo modo que tampoco lo es el FAT hasta que el sistema se inicia. Por lo tanto, cualquier disquete infectado que quede en la disquetera al iniciarse Windows, puede infectar el Master Boot Record. Cualquier proteccin a ese nivel, solo ocurrir cuando Windows est cargado (proteccin de escritura en el "boot sector" por ejemplo), pero no cuando arranca el PC. De all que se deban tomar precauciones para evitar que un equipo se infecte por ese descuido. El mejor consejo al respecto, es eliminar la disquetera de la secuencia de arranque, configurando el BIOS del sistema para desactivarla o cambiando el orden de arranque para que se procese el disco duro antes. En las opciones de Setup del BIOS, debe buscar y habilitar (si no lo estuviera), la opcin "Boot Sequence" o similar como "C, A..." etc. o "C: -> A:", o "1st Boot Device" como "IDE-0", "2nd Boot Device" como "Floppy", o la que corresponda en su caso. Deber grabar los cambios y salir para reiniciar la computadora. Generalmente podr hacerlo pulsando F10, o siguiendo las instrucciones en pantalla. Comentario final Existen muchos virus de arranque antiguos que a pesar de infectar el MBR o el sector de arranque, no podrn funcionar en Windows, porque estn designados para ejecutarse en modo real (DOS) y no protegido. Relacionados: Utilizacin de la Consola de Recuperacin en Windows XP http://www.vsantivirus.com/consola-recuperacion-xp.htm

(*) Publicado originalmente como "Boletn tcnico: FDISK /MBR y los virus" en VSantivirus No. 448 - Ao 5 - Sbado 29 de setiembre
2001.