¿Qué hacer? ¡El virus se esconde en el MBR!
En los últimos días, escuché constantemente el término "MBR-rootkit". Este virus puede usar esta tecnología para ubicarse en el mbr (registro de arranque del disco), lo que le imposibilita el paso.
Primero, veamos una descripción:
El 15 de marzo de 2010, un laboratorio de seguridad capturó un virus llamado "Ghost". El 15 de marzo de 2010, un laboratorio de seguridad capturó un virus informático llamado "Ghost Shadow" que residía en el registro de arranque maestro (MBR) del disco y desató un controlador capaz de dañar la mayoría de las herramientas de seguridad y ayudas del sistema. Cuando el sistema se reinicia nuevamente, el virus se carga antes que el kernel del sistema operativo. Cuando el virus se ejecuta correctamente, no se encuentran excepciones en los procesos ni en los complementos de inicio del sistema. Incluso si formatea y reinstala el sistema, el virus no se puede eliminar.
Vea cómo funciona el virus:
Después de ejecutar el virus principal de Ghostbusters, libera dos controladores en la computadora del usuario y los carga. El software fraudulento adicional incluido con el virus principal modificará los accesos directos del escritorio e intentará modificar las propiedades de IE.
Análisis: El propósito del distribuidor de virus puede ser desviar los objetivos de los proveedores de seguridad, haciendo más fácil ocultar el verdadero padre del virus.
2. El controlador modificará el registro de arranque maestro (mbr) del sistema y escribirá el controlador b en el disco para garantizar que el virus se inicie antes que el sistema y que los archivos del virus se guarden fuera del sistema. De esta manera, después de ingresar al sistema, el virus se cargará en la memoria, pero los elementos de inicio, los archivos de virus y los módulos de proceso no se encontrarán durante este proceso.
Análisis: debido a las limitaciones del sistema WinXP, el sistema considerará ilegal el método general de reescribir el MBR. Esta tecnología de eludir las restricciones de seguridad de WinXP y reescribir directamente el MBR se llama generalmente MBR. -rootkit.
3. La madre de los virus es la autoeliminación.
4. Después de reiniciar el sistema, el código malicioso en el registro de arranque maestro (MBR) monitoreará todo el proceso de inicio de Windows. Cuando descubra que el sistema está cargando el archivo ntldr, el código malicioso lo hará. insertarse para que cargue el programa b.
Análisis: Insertar código de virus en el archivo ntldr para resolver el problema de cargar su propio código en WINDOWS es más fácil que escribir una rutina de servicio de interrupción. Esta idea también funciona bien con virus BIOS reales.
5. Después de cargar el controlador b, monitoreará todos los módulos de proceso en el sistema. Si hay un proceso de software de seguridad, finalizará directamente.
6. El controlador b descargará el terminador av en la computadora y lo ejecutará.
7. El virus av terminator descargado modificará los archivos del sistema, agregará una gran cantidad de secuestros de imágenes al proceso del software de seguridad y descargará una gran cantidad de troyanos robadores.
8. Este virus sólo se dirige a sistemas Winxp y aún no puede dañar los sistemas Vista y Win7.
Veamos cómo prevenirlo:
Lo más importante es hacer una copia de seguridad del MBR, por si acaso.
Eliminación de imágenes fantasma
Las imágenes fantasma utilizan el rootkit MBR, que existe desde la era DOS, pero que se ha vuelto poco común en los últimos años.
El método de limpieza es reparar el MBR. Existen varios métodos, como se indica a continuación (Nota: generalmente, los discos del sistema fantasma tienen kits de herramientas de DOS):
Método 1. Para el MBR del que se ha realizado una copia de seguridad, simplemente restaure. la copia de seguridad del MBR directamente;
Método 2. Para el MBR del que no se ha realizado una copia de seguridad, use el disco de instalación del sistema XP para ingresar a la consola de recuperación e ingrese Fixmbr en el símbolo del sistema
Nota: Algunos virus pueden causar anomalías en la tabla de particiones: algunos virus pueden causar compensaciones en la tabla de particiones y los punteros. En este caso, utilice el comando fdisk / mbr, el puntero de la tabla de particiones se perderá, lo que provocará la pérdida de la capacidad de arranque y la imposibilidad de iniciar el sistema.
Método 4: Utilice el programa DEBUG para ejecutar el siguiente código para borrar el MRB y reparticionar
a
MOV AX, 0301
MOV BX, 1000
MOV CX, 1
MOV DX, 80
INT 13
INT 3
-
F 1000 FFFF 0
-
G
-
Q
Reparación Después de MBR, recuerde desinfectar.
Qué es MBR y rootkit
MBR (Master Boot Record)
En chino significa Master Boot Record. Es la primera ubicación que se lee después de encender la computadora y la placa base completa su autoprueba. Está ubicado en la Cabeza 0, Pista 1, Sector 0 del disco duro. Su tamaño es de 512 bytes. No pertenece a ningún sistema operativo y no se puede leer mediante los comandos de operación del disco proporcionados por el sistema operativo. Los virus del sector de arranque que abundaban en la era DOS eran parásitos aquí.
Rootkit es un tipo de software cuya función principal es ocultar otros procesos del programa, que pueden ser una combinación de uno o más procesos del programa
proceso de inicio del sistema informático
;Autoprueba de encendido--gt; el BIOS de la placa base arranca desde el disquete, el disco duro o la unidad óptica según la secuencia de inicio especificada por el usuario--gt; el BIOS del sistema arranca desde el registro de arranque maestro (MBR; ) registro (MBR) a la memoria--gt; Transferencia de control Dar el cargador de arranque primario --gt; Verifique el estado de la tabla de particiones de la partición activa --gt El cargador de arranque primario entrega el control al registro de arranque de la partición activa; , que carga los archivos de inicio del sistema operativo.