VIRUS DE BOOT O SECTOR DE ARRANQUE: octubre 2014

martes, 28 de octubre de 2014

HISTORIA DE LOS VIRUS

En 1949, el matemático estadounidense de origen húngaro John Von Neumann, en el Instituto de Estudios Avanzados de Princeton (Nueva Jersey), planteó la posibilidad de que un programa informático se reprodujera en su libro "Teoría y Organización de Autómatas Complicados". Esta teoría se comprobó experimentalmente en los años siguientes en los Laboratorios Bell, donde se desarrolló un juego creado por programadores de la empresa AT&T, que desarrollaron la primera versión del sistema operativo Unix. Para entretenerse, y como parte de sus investigaciones, desarrollaron un juego, "Core War", que tenía la capacidad de reproducirse cada vez que se ejecutaba. Este programa tenía instrucciones destinadas a destruir la memoria del rival o impedir su correcto funcionamiento. Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que pudiera acabar con las aplicaciones al día siguiente; de esta manera surgieron los programas destinados a dañar en la escena de la computación. Conscientes del peligro del juego, decidieron mantenerlo en secreto, y no hablar más del tema. No se sabe si esta decisión fue por iniciativa propia, o por órdenes superiores. Al mismo tiempo, desarrollaron un programa llamado "Reeper", que destruía las copias hechas por Core War, lo que en la actualidad se asemejaría a un antivirus.

Antes de la explosión del micro computación se decía muy poco de los virus. Por un lado, la computación era conocida solamente por unos pocos. Por otro lado, las entidades gubernamentales, científicas o militares, que vieron sus equipos atacadas por virus, se quedaron muy calladas, para no demostrar la debilidad de sus sistemas de seguridad, que costaron millones, al bolsillo de los contribuyentes. Las empresas privadas y las grandes corporaciones, tampoco podían decir nada, para no perder la confianza de sus clientes o accionistas. Lo que se sabe de los virus desde 1949 hasta principios de la década de los 80, es muy poco.

En 1982, los equipos Apple II comienzan a verse afectados por un virus llamado "Cloner" que presentaba un mensaje en forma de poema. El año siguiente, 1983, el Dr. Ken Thomson, uno de los programadores de AT&T, que trabajó en la creación de "Core War", rompe el silencio acordado, y da a conocer la existencia del programa, con detalles de su estructura, en una conferencia ante la Asociación de Computación. La Revista Scientific American a comienzos de 1984, publica información concreta sobre la creación de virus. Es el punto de partida de la vida pública de estos aterrantes programas, y naturalmente, de su difusión sin control en las computadoras personales. Por esa misma fecha, 1984, el Dr. Fred Cohen hace una demostración en la Universidad de California, presentando un virus informático residente en una PC. Al Dr. Cohen se le conoce hoy día, como "el padre de los virus".

En 1985 aparecen los primeros caballos de Troya, disfrazados como un programa de mejora de gráficos llamado EGABTR y un juego llamado NUKE-LA. Pronto les sigue un gran número de virus cada vez más complejos. .El primer virus destructor y dañino plenamente identificado que infecta muchas PC’s aparece en 1986. Se crea en la ciudad de Lahore, Paquistán, y se le conoce con el nombre de BRAIN. Sus autores vendían copias piratas de programas comerciales como Lotus, Supercalc o Wordstar, por una cantidad de dinero bajísima. Los turistas que visitaban Paquistán, compraban esas copias y las llevaban de vuelta a los EE.UU. Las copias pirateadas llevaban un virus. Ellos habían notado que el sector de arranque de un disquete contenía un código ejecutable, y que dicho código se ejecutaba cada vez que la máquina se iniciaba desde un disquete, y lograron reemplazar ese código por su propio programa, residente, consiguiendo a su vez que éste instalara una réplica de sí mismo en cada disquete que fuera utilizado en ese equipo. Fue así, como infectaron más de 20,000 computadoras. Los códigos del virus BRAIN fueron alterados en los EE.UU., por otros programadores, dando origen a muchas versiones de ese virus, cada una de ellas peor que la anterior.

En 1987, los sistemas de Correo Electrónico de la IBM, son invadidos por un virus que envía mensajes navideños, y que se multiplica rápidamente. Estos ocasionan que los discos duros se llenen de archivos de origen vírico, y el sistema se vaya haciendo lento, hasta llegar a paralizarse por más de tres días. El virus Jerusalén, según se dice creado por la Organización de Liberación Palestina, es detectado en la Universidad Hebrea de Jerusalén a comienzos de 1988. El virus estaba destinado a aparecer el 13 de Mayo de 1988, fecha del 40 aniversario de la existencia de Palestina como nación. El 2 de Noviembre del 88, dos importantes redes de EE.UU. se ven afectadas seriamente por virus introducidos en ellas. Más de 6,000 equipos de instalaciones militares de la NASA, universidades y centros de investigación públicos y privados se ven atacados.

Por 1989 la cantidad de virus detectados en diferentes lugares sobrepasan los 100, y la epidemia comienza a crear situaciones graves. Entre las medidas que se toma, para tratar de detener el avance de los virus, es llevar a los tribunales a Robert Morís Jr. acusado de ser el creador de un virus que infectó a computadoras del gobierno y empresas privadas. Al parecer, este muchacho conoció el programa Core War, creado en la AT&T, y lo difundió entre sus amigos. Ellos se encargaron de diseminarlo por diferentes medio a redes y equipos. Al juicio se le dio gran publicidad, pero no detuvo a los creadores de virus. La cantidad de virus que circula en la actualidad es desconocida. McAfee y Asociados, una empresa creada por John McAfee y dedicada a la producción de programas anti-virales, que distribuye sus trabajos por medio del sistema shareware, o programas de uso compartidos, identificaba a comienzos de 1996 los siguientes:

Virus Principales Conocidos……….. 534

Variaciones de esos Virus…………....729

Total de Virus Identificados………..1.263

Por ejemplo, del virus Stoned se conoce más de 26 versiones diferentes, del virus Dark Avenger se identifica más de 11 versiones, del virus Paquistaní BRAIN 8 versiones y del virus Plastique 9 versiones.

En 1988 aparecen dos nuevos virus: Stone, el primer virus de sector de arranque inicial (boot), y el gusano de Internet, que cruza Estados Unidos de un día para otro a través de una red informática. En el año 1990, surgen algunas novedades en el panorama de los virus. Mark Washburn crea el primer virus polimórfico a partir del 'Viena'. Los virus polimórficos representan un paso adelante en la evolución de los códigos malignos, al ser capaces de encriptar de forma diferente su código cada vez que cometen una nueva infección; por ello, es necesario desarrollar un algoritmo que pueda aplicar tests lógicos al archivo, decidiendo de esta manera si los bytes son malignos o no, para crear la herramienta anti-virus que bloquee dichos códigos. También en 1990 aparecen los virus 'Dark Avenger', introduciendo dos conceptos nuevos: la infección rápida (el virus se instala en la memoria, y la simple apertura de un archivo provoca una infección vertiginosa del disco duro) y el ataque remoto (algunos de estos virus sobrescriben código cada cierto tiempo, por lo que si el usuario no se da cuenta y hace 'backup' de los datos periódicamente, auto réplica sin querer todas las líneas de código maligno).

1991 es también el año de los virus polimórficos, que tienen un gran impacto sobre los usuarios. En abril de 1991, el virus 'Tequila' recorre el mundo de parte a parte. Es escrito en Suiza, donde un amigo del autor se lo roba a éste, y lo introduce en los equipos informáticos de su padre. El padre era un vendedor de shareware, y así es como 'Tequila' se difunde ampliamente. Es considerado como el primer virus polimórfico difundido a escala mundial. En mayo, los nuevos motores de búsqueda comienzan a detectarlo, pero no es hasta septiembre cuando se empieza a reducir su expansión. Si no se desinfectaba totalmente existía un riesgo de pérdida de un 1 por ciento de los archivos, y esto se incrementaba cada vez que se detectaba el virus pero no se desinfectaba de forma efectiva.

En septiembre de 1991, el virus 'Maltese Amoeba' hace de las suyas por toda Europa. Se trata de otro virus polimórfico que provoca la aparición de una docena de variantes antes de fin de año, todo clasificadas como 'de difícil erradicación'. Otro virus importante es el 'Commander Bomber', de 'Dark Avenger'. Antes de 'Commander', uno podía prever fácilmente en qué archivo estaba oculto un virus. Muchos desarrolladores de productos aprovechaban esta facilidad para crear rápidamente herramientas anti-virus. Pero 'Commander Bomber' cambia esto, de tal manera que los escáneres se ven obligados a chequear todos los archivos, o bien localizar el virus mediante un seguimiento completo del código.

Durante este periodo también surgió 'Starship'. Se trata de un virus completamente polimórfico, que consta de una serie de trucos anti-debbuging y anti-checksumming. Los programas de 'checksumming' sirven para detectar un virus en función de que posee código ejecutable que cambia para replicarse. 'Starship' solamente infectaba los archivos cuando éstos eran copiados desde el disco duro al disquete. Por lo tanto, los archivos residentes en el disco duro no cambiaban nunca. Pero la copia del disquete estaba infectada, por lo que si este disquete se introducía en otro equipo y se chequeaba el sistema por medio del 'checksummer', éste lo aceptaba sin problemas. El virus 'Starship' se instalaba a sí mismo en el disco duro, pero sin hacer ningún cambio en el código ejecutable. Cambiaba los datos, eso sí, de partición, efectuando una nueva partición en el 'boot' o arranque. Esta nueva partición contenía el código del virus, que se ejecutaba antes de pasar el control a la partición 'boot' original. En 1995 se crea el primer virus de lenguaje de macros, WinWord Concept.

Actualmente, los virus son producidos en cantidades extraordinarias por muchísima gente alrededor del planeta, algunos de ellos dicen hacerlo por diversión, otros quizás para probar sus habilidades.

DEFINICION DEL VIRUS BOOT O SECTOR DE ARRANQUE

Con el título "FDISK /MBR y los virus", originalmente solo pretendía dar algunas explicaciones sobre la recuperación de ciertas infecciones en el sector maestro de arranque (MBR), con el uso del comando FDISK /MBR. Ante las diversas consultas recibidas, hemos ampliado esta descripción, para dar algunas pautas de recuperación en sistemas que utilizan también NTFS, y que no tienen un acceso desde MS-DOS.

Sobre FDISK /MBR y los virus

Tal vez, si sufrió alguna vez la acción de un virus de sector de booteo, o de arranque, haya utilizado la orden FDISK /MBR para su remoción. Sin embargo, es importante conocer un poco más de este comando, antes de usarlo tan abiertamente.

El comando FDISK /MBR (Windows 95, 98 y Me), se limita a sobrescribir lo que se conoce como Master Boot Record (MBR) o sector maestro de arranque.

El MBR no es otra cosa que un pequeño programa (en assembler) que el sistema operativo utiliza para iniciarse, y que está presente en el primer sector de las particiones primarias, y en cualquier sector de particiones extendidas de arranque.

El Master Boot Record es cargado automáticamente por el BIOS cuando se inicia el sistema desde C:. Este pequeño programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y determinar cuál es la partición preparada para arrancar (booteable), pasar de disco a memoria el sector de arranque de ésta (boot sector), y darle a éste el control para que se ejecute y cargue el sistema operativo.

Como todo programa, el MBR puede ser modificado por un virus, de modo que éste último tome el control cada vez que se inicie la computadora, (quedando en memoria), y luego continúe con el comportamiento aparentemente normal del sistema.

El comando FDISK /MBR, es una opción no documentada que vuelve a crear un Master Boot Record (MBR) en el disco duro (vuelve a colocar allí el programa de arranque original).

Pero deben tomarse ciertas precauciones antes de usarlo. Y además, es recomendable hacerlo desde un disquete de arranque, para no darle al virus la oportunidad de que se ejecute y se cargue en memoria. Además el virus pudo haber modificado la "Tabla de Particiones" (los datos necesarios para encontrar y manejar la información guardada en el duro) y tomar el control una vez iniciado.

Cómo dijimos, debemos arrancar la computadora desde un disquete limpio (creado anteriormente a cualquier infección, o en otra máquina limpia). Si luego de esto, podemos acceder al disco C:\ con un simple DIR C: desde A: (solo si el sistema es FAT o FAT32), entonces podemos aplicar el comando FDISK /MBR.

Debemos tener muy en cuenta que un virus puede desviar las llamadas de escritura al MBR infectado y re-direccionarlas al sector que contiene el MBR original. Así, al hacer un FDISK /MBR estaríamos sobrescribiendo el MBR original pero el virus quedaría intacto.

Algunas nociones

El sector de partición del disco duro en una partición primaria, se localiza en su primer sector físico (0,0,1). En ese sector se encuentran "normalmente" dos elementos esenciales para el buen funcionamiento de nuestra computadora. Uno de ellos es el MBR o Sector de Partición (código ejecutable). El otro es la Tabla de Particiones (que son datos).

El problema surge cuando por alguna razón el formato de dicho sector no corresponde al estándar establecido ya sea por infección viral, corrupción o simplemente porque ese sector se escribió bajo otro estándar por un programa análogo al FDISK de un tercero o bien por otro sistema operativo.

Analicemos el caso de infección por algún virus, como por ejemplo el bastante veterano "Monkey". El sector de partición será reemplazado completamente por el código del virus quien habrá encriptado dicho sector y lo habrá escrito en otro lugar del disco. En otras palabras, el virus se ha "robado" la información esencial del disco y sólo dejará que el usuario vea el disco duro cuando el virus esté presente, es decir cuando arranca con el disco duro. ¿Qué pasaría entonces si en este caso usamos FDISK /MBR? Estaríamos borrando la primera parte del virus sin restaurar la partición, por lo que ahora no podríamos ver el disco duro, ¡ni con virus ni sin él!

En otras palabras, si luego de los pasos mencionados (booteo con disquete limpio, hacer un DIR desde, antivirus, leer disco C:\) no han habido errores, haciendo FDISK /MBR volvemos a escribir un Master Boot Record LIMPIO. Si es un virus el que modificó esto, podremos limpiarlo con este comando de FDISK, SOLAMENTE si podemos leer el disco C: arrancando desde un disquete LIMPIO y sin virus EN MEMORIA.

En Windows 95, 98 y Me, el FDISK /MBR regenera automáticamente el Master Boot Record del disco duro sin pedir confirmación. Usarlo es una manera rápida de eliminar los virus que hayan infectado el registro de arranque.

Ahora bien, si el disco fue particionado usando la herramienta FDISK en esos sistemas operativos, que es lo más recomendable, no existe ningún riesgo en usar la opción FDISK con los parámetros /MBR (además de lo ya explicado).

Pero si el disco fue particionado por alguna utilería como DISK MANAGER, EZ etc. que montan un OVERLAY para que las BIOS de máquinas más viejas puedan ser engañadas y reconocer discos duros mayores a 512Mb, 8Gb, 30 Gb, etc., entonces usando el FDISK /MBR estaremos borrando este OVERLAY y el disco puede quedar inaccesible o con un tamaño menor.

Un OVERLAY es un programa que interpreta los datos reales que no puede ver el BIOS, para dárselos (interceptando los pedidos que el Sistema Operativo hace al BIOS), de modo que el SO pueda manejar adecuadamente el tamaño real del duro, etc.

Si iniciamos desde un disquete, y no vemos el disco duro con un DIR C:, también podría deberse al uso de un OVERLAY, o a que se está utilizando un tipo de sistema de archivos diferente a FAT (por ejemplo NTFS en Linux, Windows NT, 2000, XP o 2003).

Finalmente, recuerde que existen virus como el CIH que no se cargan en el MBR. El CIH es un virus que infecta archivos ejecutables de 32-bit (todos los Windows superiores al ya 3.x), y cuando un programa infectado se ejecuta, el virus infectará la memoria de la computadora y luego otros archivos. Luego, entre sus rutinas destructivas (las que se activan ciertos días como el 26 de abril), están las de borrar el disco duro (el MBR y un área determinada de datos).

Sobre Windows NT, 2000, XP y Server 2003 con NTFS

NTFS es un tipo de sistema de archivos propietario de Windows NT (utilizado también en Windows 2000, XP y 2003), del mismo modo que FAT y FAT32 lo son de Windows 9x y Me. NTFS implementa seguridad a nivel de archivo. Cada archivo o directorio posee su lista de control de acceso (ACL) conociéndose en todo momento quien tiene derechos sobre él, lo que permite especificar claramente los permisos para el uso de cualquier archivo.

Por el contrario un sistema bajo particiones FAT o FAT32, carece totalmente de este tipo de protección en los archivos, siendo estos accesibles por cualquier usuario que use el sistema.

Aunque el MBR (Master Boot Record), no es ni FAT ni NTFS (es solo un código ejecutable grabado en un sector especial del disco), existen comandos diferentes para recuperarlo.

Acerca de la Consola de Recuperación

Cuando se tienen problemas en una partición NTFS bajo Windows NT, 2000 y XP, se requiere el uso de la consola de recuperación, para acceder a estas particiones desde un disco de inicio.

Se aconseja que usted se familiarice con ésta, mientras su sistema está aún sano.

Existen varias formas de iniciar la consola de recuperación, aquí le mostramos dos de ellas.

1. Iniciar desde disquetes de inicio, utilizar el CD de instalación y ejecutar /I386/WINNT.EXE (desde el DOS), o /I386/WINNT32.EXE (desde Windows).

2. Arrancar desde el CD, si el CD es booteable, y su BIOS lo soporta (en instalaciones con Windows XP esta suele ser la mejor opción, porque este sistema requiere hardware que suele estar preparado para ello). En ese caso seleccione la opción REPARAR (generalmente pulsando "R" cuando se le pregunte).

Más información:

Utilización de la Consola de Recuperación en Windows XP

http://www.vsantivirus.com/consola-recuperacion-xp.htm

Qué hacer ante un virus en el sector de booteo

Recuperar MBR en Windows 95, 98, Me

Para empezar, configure su computadora (BIOS) para que inicie desde un disquete. Esto puede estar como "1st Boot Device" (hay que poner Floppy y en "2nd Boot Device" hay que poner IDE-0), o como "Boot Sequence" o similar, y debe estar como: A: -> C:.

Luego, con un disco de inicio, del mismo sistema operativo del instalado en su PC (Windows 95, 98, 98 Segunda Edición, Me, etc.), creado en una máquina LIMPIA de virus, inicie la computadora con dicho disquete insertado en la disquetera A:. Eso haría que se iniciara en A: y no en C:

Desde allí, pruebe a hacer un DIR C:

Si el disco C: se ve (sale el listado de los directorios en C:), teclee lo siguiente (siempre desde A:):

FDISK /MBR

Para crear un disquete de inicio en una máquina limpia con Windows 95/98, lo más fácil es hacerlo desde Panel de Control, Agregar o quitar programas, lengüeta "Disco de inicio".

Windows NT, 2000, XP, 2003

En Windows NT, 2000, XP y Server 2003, arranque desde un disquete o CD de inicio, seleccione la opción RECUPERAR para entrar a la consola de recuperación cómo se explicó antes, y cuando ésta se inicie, ejecute el comando FIXMBR para reparar el Master Boot Record. Escriba HELP para obtener la ayuda de los comandos (se le requerirá la contraseña de administrador).

Recuperar sector de arranque (Boot Sector)

El sector de arranque es un código ejecutable que informa al sistema que archivo se deberá cargar al iniciar el proceso de arranque. Es lo que el MBR ejecuta en primer término.

Por ejemplo, en Windows 95, 98, Me, el sector de arranque le dice al sistema que comience la ejecución del archivo IO.SYS, mientras que en NT, 2000, XP, ese primer archivo es NTLDR.

Cómo el sector de arranque es un programa, puede ser infectado por un virus.

Un virus de sector de arranque (boot sector virus), puede reemplazar el programa original por uno propio, tomando el control.

Algunos virus realizan un respaldo del sector de arranque original en el momento de la infección. Para limpiar una infección, el uso de un antivirus es lo más recomendable, ya que éste suele saber dónde almacena cada virus el sector de arranque original y reponerlo, siempre que no haya sido modificado (evidentemente, no todos los virus tienen el mismo comportamiento).

En el caso de que desee (o necesite) recuperar el sector de arranque manualmente, siga estos pasos.

Windows 95, 98 y Me

Inicie desde un disquete de inicio, creado previamente en una máquina limpia.

Desde la línea de comandos (A:\), ejecute esta orden:

SYS C:

¡¡¡MUY IMPORTANTE!!!, antes de esto, DEBE estar MUY SEGURO que el disquete de inicio es del MISMO SISTEMA OPERATIVO INSTALADO EN C:\

Para crear un disquete de inicio en una máquina limpia con Windows 95/98, lo más fácil es hacerlo desde Panel de Control, Agregar o quitar programas, lengüeta "Disco de inicio".

Windows NT, 2000, XP, 2003

Arranque la computadora desde un disquete o CD de inicio, seleccione la opción RECUPERAR para entrar a la consola de recuperación, y cuando esta se inicie, ejecute el comando FIXBOOT para reparar el Boot Sector o sector de arranque (se le requerirá la contraseña de administrador).

Cómo proteger el sector de arranque contra virus.

El sistema de archivos NTFS no es reconocido hasta que Windows no arranca su servicio de reconocimiento de archivos, del mismo modo que tampoco lo es el FAT hasta que el sistema se inicia. Por lo tanto, cualquier disquete infectado que quede en la disquetera al iniciarse Windows, puede infectar el Master Boot Record.

Cualquier protección a ese nivel, solo ocurrirá cuando Windows esté cargado (protección de escritura en el "boot sector" por ejemplo), pero no cuando arranca el PC.

De allí que se deban tomar precauciones para evitar que un equipo se infecte por ese descuido.

El mejor consejo al respecto, es eliminar la disquetera de la secuencia de arranque, configurando el BIOS del sistema para desactivarla o cambiando el orden de arranque para que se procese el disco duro antes.

En las opciones de Setup del BIOS, debe buscar y habilitar (si no lo estuviera), la opción "Boot Sequence" o similar como "C, A..." etc. o "C: -> A:", o "1st Boot Device" como "IDE-0", "2nd Boot Device" como "Floppy", o la que corresponda en su caso. Deberá grabar los cambios y salir para reiniciar la computadora. Generalmente podrá hacerlo pulsando F10, o siguiendo las instrucciones en pantalla.

Comentario final

Existen muchos virus de arranque antiguos que a pesar de infectar el MBR o el sector de arranque, no podrán funcionar en Windows, porque están designados para ejecutarse en modo real (DOS) y no protegido.

Relacionados:

Utilización de la Consola de Recuperación en Windows XP
http://www.vsantivirus.com/consola-recuperacion-xp.htm

CARACTERÍSTICAS DEL VIRUS BOOT

Virus del sector de arranque

Los virus de arranque son conocidos por infectar el sector de arranque de los discos flexibles y el sector de arranque del sector de arranque principal (MBR, por sus siglas en inglés, Master Boot Record) del disco duro. Los virus de arranque actúan sobre la base de algoritmos utilizados para iniciar el sistema operativo cuando el ordenador se enciende o es reiniciado. Una vez que los chequeos de memoria, discos, etc. han concluido, el programa de inicio del sistema lee/ busca el primer sector físico del disco de inicio (A:, C: o el CD-ROM, dependiendo de los parámetros configurados/ instalados en la configuración BIOS y le pasa el control a este sector.

Al infectar un disco, los virus de inicio sustituyen el código por el de un programa que adquiere control cuando se inicia el sistema. A fin de infectar al sistema, el virus obligará al sistema a leer la memoria y entregar el control, no al programa de inicio original, sino al código del virus.

Los discos flexibles solamente pueden ser infectados de una forma. El virus escribe su código en lugar del código original del sector de arranque del disco.

Los discos duros pueden ser infectados de tres formas: el virus escribe su código en lugar del código MBR; el código del sector de arranque del disco de inicio o modifica la dirección del sector de libros activos en la tabla de partición del disco, en el MBR del disco duro.

En la amplia mayoría de los casos, al infectar un disco, el virus moverá el sector de arranque original (o MBR) a otro sector del disco, a menudo el primero que encuentre vacío. Si el virus es más largo que el sector, entonces el sector infectado contendrá la primera parte del código del virus y el remanente del código será colocado en otros sectores, por lo general los tres primeros.

Virus macro

Los virus macro más difundidos son para las aplicaciones de Microsoft Office (Word, Excel y PowerPoint) las cuales guardan información en formato OLE2 (Enlace e Incrustación de Objetos, en inglés Object Linking and Embedding).

Los virus para otras aplicaciones son relativamente poco comunes.

La ubicación real de un virus con un archivo de MS Office depende del formato de archivo, el cual en el caso de los productos Microsoft es extremadamente complejo. Todos los documentos de WORD, Office 97 o tabla de Excel están compuestos de una secuencia de bloques de datos (cada uno de los cuales tiene su propio formato) que son unidos/ enlazados/ unidos por datos de servicio. Debido a la complejidad de los archivos de Word, Excel y Office 97, es más fácil utilizar un diagrama para mostrar la ubicación de un virus macro en tales tipos de archivo:

Archivo de documento o tabla sin infectar

Archivo de documento o tabla infectado

Encabezado del archivo

Datos de servicios (directorios, FAT)

Texto

Fuentes

Macros (si los hay)

Otros datos

Encabezado del archivo

Datos de servicios (directorios, FAT)

Texto

Fuentes

Macros (si los hay)

Macros de virus

Otros datos

Al trabajar con documentos y tablas, MS Office realiza varias acciones diferentes: la aplicación abre el documento, lo salva, lo imprime, lo cierra, etc.

MS Word buscará y ejecutará/lanzará los macros incorporados apropiados. Por ejemplo, utilizando el instrucción Archivo/Guardar llamará al macro ArchivoGuardar, el instrucción Archivo/Guardarcomo llamará al macro ArchivoGuardarcomo, y así sucesivamente, siempre asumiendo que tales macros estén definidos/ configurados.

También existe auto macros, que serán llamados automáticamente en determinadas situaciones. Por ejemplo, cuando se abre un documento, MS Word comprobará la presencia del macro Auto Abrir en el documento. Si se encuentra el macro, Word lo ejecutará. Cuando un documento está cerrado, Word ejecutará el macro de Auto Cierre, cuando Word sea iniciado, la aplicación ejecutará el Macro Auto Ejec, etc. Estos macros son ejecutados de forma automática, sin ninguna acción por parte del usuario, así como los macros/ funciones que están asociados ya sea por una clave particular, o con un tiempo o fecha específico.

Como regla, los virus macro que infectan los archivos MS Office utilizan una de las técnicas antes descritas. El virus contendrá un auto macro (función automática); uno de los macros estándares del sistema (asociado con un ítem del menú) será redefinido; o, el virus macro será llamado de forma automática al apretarse una determinada tecla o combinación de teclas. Una vez que el virus macro hubiera adquirido el control, transferirá su código a otros archivos, usualmente los que estén siendo editados en el momento. En menos ocasiones, los virus buscarán en los discos otros archivos.

Virus de Script

Los virus script son un subgrupo de virus de archivo, escritos en una variedad de lenguajes script (VBS, JavaScript, BAT, PHP, etc.). Ellos infectan otros scripts, ej. Archivos de instrucción y servicios de Windows o Linux, o forman parte de virus multi-componentes. Los virus script pueden infectar otros formatos de archivo, tales como HTML, si el formato de archivo permite la ejecución de scripts.

FUNCIONAMIENTO

En este caso el código del virus se copiará en el primer sector del disco duro que la computadora lee al arrancar. Puede que sobre escriba el sector original o que se cree una copia del mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si el usuario arranca la computadora con un disquete "limpio" el virus no podrá cargarse en memoria y no tendrá el control.

Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo es muy parecido al de los de sector de arranque solo que el truco de arrancar con un disquete limpio no funciona con estos. En el peor de los casos nos encontraremos con un virus multipartita, que contaminará todo lo que pueda, archivos, sector de arranque.

Los términos Boot o sector de arranque hacen referencia a una sección muy importante de un disco o unidad de almacenamiento CD, DVD, memorias USB etc. En ella se guarda la información esencial sobre las características del disco y se encuentra un programa que permite arrancar el ordenador.

Este tipo de virus no infecta ficheros, sino los discos que los contienen. Actúan infectando en primer lugar el sector de arranque de los dispositivos de almacenamiento. Cuando un ordenador se pone en marcha con un dispositivo de almacenamiento, el virus de Boot infectará a su vez el disco duro.

Los virus de Boot no pueden afectar al ordenador mientras no se intente poner en marcha a éste último con un disco infectado. Por tanto, el mejor modo de defenderse contra ellos es proteger los dispositivos de almacenamiento contra escritura y no arrancar nunca el ordenador con uno de estos dispositivos desconocido en el ordenador.

Unos ejemplos de este tipo de virus es: Polyboot.B y AntiEXE.

MÉTODOS DE PROTECCIÓN

Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.

ACTIVOS

ü Antivirus: son programas que tratan de descubrir las trazas que ha dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación. Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad. Por ejemplo, al verse que se crea un archivo llamado Win32.EXE.vbs en la carpeta C:\Windows\%System32%\ en segundo plano, ve que es comportamiento sospechoso, salta y avisa al usuario.

ü Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el computador está conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o usando técnicas de firewall. En general, este sistema proporciona una seguridad donde no se requiere la intervención del usuario, puede ser muy eficaz, y permitir emplear únicamente recursos de forma más selectiva.

PASIVOS

ü Evitar introducir a tu equipo medios de almacenamiento extraíbles que consideres que pudieran estar infectados con algún virus.

ü No instalar software "pirata", pues puede tener dudosa procedencia.

ü No abrir mensajes provenientes de una dirección electrónica desconocida.

ü No aceptar e-mails de desconocidos.

ü Informarse y utilizar sistemas operativos más seguros.

ü No abrir documentos sin asegurarnos del tipo de archivo. Puede ser un ejecutable o incorporar macros en su interior.

ELIMINACION

MBR Rootkit/Mebroot/Sinowal Pertenecen a una clase de Malwares que atacan directamente al MBR (Master Boot Record) que es el encargado de informarle al sistema operativo que archivo se deberá cargar en el inicio del proceso de arranque.

Para tomar el control del arranque del sistema y cargarse en memoria de forma permanente y sin ser detectado fácilmente, el malware usa técnicas Rootkit y de esta forma modifica o reemplaza el MBR original por uno que el mismo genera para dificultar su detección y posterior desinfección.

Además de ocultar su presencia en el sistema, el MBR Rootkit instala una puerta trasera en Windows(Backdoors), la que se encarga de establecer conexiones no autorizadas con servidores remotos para enviar información personal como por ejemplo, datos de cuentas bancarias, etc.

Pasos para la eliminación:

· Iniciar en Modo Seguro // A prueba de fallos // con conexión a la red.

· Descargar y actualizar las herramientas antes mencionadas.

· Malwarebytes Antimalware , instálelo y actualícelo pero no lo ejecute todavía. (Manual de uso).

· Descargue mbrfix.zip y luego descomprima su contenido en la carpeta mbrfix.

En el interior de la carpeta encontrará los siguientes archivos:

· MbrFix.exe (este es el ejecutable para sistemas Windows de 32 bits)

· MbrFix.html (contiene información adicional sobre la herramienta)

· MbrFix64.exe (este es el ejecutable para sistemas Windows de 64 bits)

Para Sistemas Windows de 32 bits:

· Copie el archivo MbrFix.exe y péguelo en el directorio raíz C:\

· Quedando de la siguiente manera: C:\MbrFix.exe

Para Sistemas Windows de 64 bits:

· Copie el archivo MbrFix64.exe y péguelo en el directorio raíz C:\

· Quedando de la siguiente manera: C:\MbrFix64.exe

· Ir a Inicio > Todos los programas > Accesorios > Símbolo del sistema

· Para sistemas Windows Vista y Seven, recuerde ejecutar el símbolo del sistema como administrador.

Una vez en la ventana MS-DOS

Escriba el siguiente comando (copie y pegue el código que se encuentra dentro del recuadro de acuerdo a su sistema operativo):

Para Windows NT, Windows 2000, Windows XP, Windows Server 2003 de 32 bits:

Código:

C:/MbrFix /drive 0 fixmbr

Para Windows Vista de 32 bits:

Código:

C:/MbrFix /drive 0 fixmbr /vista

Para Windows Seven de 32 bits:

Código:

C:/MbrFix /drive 0 fixmbr /win7

Para Windows Vista de 64 bits:

Código:

C:/MbrFix64 /drive 0 fixmbr /vista

Para Windows Seven de 64 bits:

Código:

C:/MbrFix64 /drive 0 fixmbr /win7

Una vez escogido el comando correcto para la versión de Windows que tenga instalado, lo escribe respetando los espacios entre las palabras y verá algo como esto:

Luego de haberlo copiado haga clic en la tecla Enter (Aceptar) y devolverá lo siguiente:

You are about to Fix MBR,

are you sure (Y/N)?

Elija Y para reparar o N para salir de la aplicación.

NOTA:Si tiene más de un disco duro en el equipo entonces debe repetir el procedimiento para cada uno de ellos, copiando la herramienta MbrFix.exe en la raíz de cada disco duro y ejecutando el comando correspondiente de acuerdo a la letra asignada a cada uno.

Ejemplo: Tienes dos discos duros físicos (No te confundas con particiones del disco, que es otra cosa). El primer disco duro se llama C y el segundo D. Entonces tendría que copiar la herramienta en la raíz de cada disco duro así:

C:/MbrFix.exe
D:/MbrFix.exe

Y a continuación ejecutar los comandos:

C:/MbrFix /drive 0 fixmbr
D:/MbrFix /drive 1 fixmbr

Donde

drive 0 = disco duro C

drive 1 = disco duro D

- Ejecute MalwareBytes' Antimalware en modo completo , y al terminar oprima QUITAR LO SELECCIONADO, para eliminar las infecciones encontradas.

- Ejecute CCleaner, para limpiar cookies, temporales y el Registro. Úselo de acuerdo a sumanual.

- Reinicie el equipo y compruebe los resultados realizando un escaneo completo del PC con ESET Online Scanner

Para mas información: