• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    PELIGRO: Mebroot.BD nueva amenaza para el sector de arranque

    Mebroot.BD Hola a todos En esta ocasión les traigo la ultima versión de este tipo de virus recientemente descubierta que arraigan en el sector de arranque del disco duro, lo que conlleva que su desinfección ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.286

      Atención PELIGRO: Mebroot.BD nueva amenaza para el sector de arranque

      Mebroot.BD


      Hola a todos

      En esta ocasión les traigo la ultima versión de este tipo de virus recientemente descubierta que arraigan en el sector de arranque del disco duro, lo que conlleva que su desinfección sea prácticamente imposible desde el propio sistema operativo y en muchos casos ocasione que el sistema no logre cargar, como es costumbre se adjunta desinfección standart manual y enlaces de interés:

      DESCRIPCIÓN BREVE

      Troyano que sobrescribe en MBR (Master Boot Record) y que obliga a reinstalar el sistema operativo.

      Peligrosidad: Baja

      Difusión: Baja Fecha de Alta:05-04-2009

      Daño: Alto

      Dispersibilidad: Bajo++


      Nombre completo: Trojan.W32/Mebroot.BD
      Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Alias:TROJ_MEBROOT.BD (Trend Micro), Troj/Mebroot.BD (PerAntivirus)

      Método de infeccion/Efectos

      1. Cuando se ejecuta el virus se copia a si mismo en:
      * %%Temp%\[número_aleatorio].tmp
      * %User Temp%\[número_aleatorio].tmp

      ***Estos ficheros ocultan archivos autoejecutables.

      2. Este troyano sobrescribe el MBR (Master Boot Record) con su propio codigo para ejecutarse cada vez que se reinicia el equipo e impide la carga del sistema operativo.

      Descripcion y desinfección según Trend Micro

      Descripción y desinfección según Per Antivirus

      Fuente

      Como nota personal aconsejaria hacer una copia de todos los archivos ubicados en el directorio raíz del disco en el que esta el BOOT de inicio y acto seguido comprimirlos y guardarlos para poder ser restaurados en caso de una posible infeccion.

      De igual modo recomiendo como siempre subir todo lo descargado a Virustotal y desconfiar de adjuntos y link sospechosos

      Suerte a todos
      Última edición por Herrante fecha: 05/04/09 a las 12:39:31
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Ex-Colaborador Avatar de GuillermoTell
      Registrado
      abr 2006
      Ubicación
      Colombia
      Mensajes
      8.100

      Articulo Re: PELIGRO: Mebroot.BD nueva amenaza para el sector de arranque

      Hola Herrante, paso a comentar varias cosas sobre el Mebroot.

      1- La nueva variante no esta bien documentada y solo hablan de los ejecutables en carpetas temporales pero no hablan sobre los cambios más importantes en el código del Malware que son los realizados en el MBR y que están dificultando su detección y eliminación.

      2- En el foro el primer caso documentado de infección por una variante de Mebroot tiene un poco más de un año y lo pueden ver en el siguiente enlace: Infectado con Mebroot (Solucionado / Solved)

      En ese entonces la documentación sobre este malware era muy escasa, fíjate un año después y las noticias que salen solo dicen:

      Troyano que sobrescribe en MBR (Master Boot Record) y que obliga a reinstalar el sistema operativo.
      3- A partir de este tema se le hizo un seguimiento al Malware por parte del grupo Warrior encabezado por mi persona para tratar y documentar los casos que se presentaban en el foro y encontrar herramientas que nos ayudaran a solucionar la infección. Resultado de eso fue que se procedió a realizar la FAQ sobre como Eliminar MBR Rootkit/Mebroot.

      4- Los procedimientos usados para desinfectar este malware han sido diversos dependiendo de las condiciones del PC y la variante de mebroot y las compañias Antivirus en su momento han sacado herramientas automáticas de desinfección que han ayudado mucho como el caso de Eset mebroot Remover, Norman Sinowal Cleaner, Symantec Fixmebroot entre otras.También están Dr Web Cure It que detecta y repara algunas de las infecciones de unas variantes y en su momento SDFix detectaba archivos de la infección en su reporte. Esto para mostrar algunas de las herramientas que de manera automática eliminan los archivos asociados a la infección, lo servicios que estos generan y en algunos casos reparan sectores de arranque infectados.

      En algunas oportunidades el malware es muy resistente a la desinfección y se utilizan herramientas como Gmer MBR.exe o Ambience MbrFix.exe pero estas ultimas ultimas siempre bajo supervisión de un experto ya que en algunos casos los pasos son muy delicados y deben hacerse desde MS-DOS para poder reparar los sectores dañados del MBR de forma adecuada para evitar el formateo.

      5- Finalmente decir que pese a que muchos de los casos de infección por Mebroot si han acabado en Formateo en algunas oportunidades ha sido porque el usuario ha desistido de hacer el procedimiento por impaciencia, otras veces por infecciones secundarias o adicionales que tenia el PC o por problemas fisicos del disco duro.

      Reconozco que este tipo de Malware es de lo más tedioso para desinfectar pero si se diagnostica adecuadamente y a tiempo los resultados que se pueden obtener en el proceso de desinfección son muy buenos como ya se ha hecho anteriormente en el foro.

      Para terminar solo me quedaría decir que no todo esta perdido en la lucha frente a este molesto malware y que bastante gente de diferentes partes esta día a día recopilando información, analizando muestras y estudiando el comportamiento de la infección para poder enfrentarla de manera eficaz de cara a lo que puedan ser la nuevas variantes de esta amenaza oculta llamada Mebroot.

      Saludos.

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.286

      Re: PELIGRO: Mebroot.BD nueva amenaza para el sector de arranque

      Una muy oportuna información al respecto
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.