• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Eliminar MBR Rootkit/Mebroot/Sinowal (Malwares del sector de arranque)

    Nombre: MBR Rootkit/Mebroot/Sinowal Tipo: Malware con funciones de Rootkit Alias: Trojan.Mebroot (Symantec), Troj/Mbroot-A (Sophos), StealthMBR (McAfee), StealthMBR!rootkit (McAfee), TROJ_AGENT.APA (Trend Micro), Trojan.Win32.Agent.dsj (Kaspersky), Win32/Mebroot.A (Computer Associates), Trojan/Mebroot (Hacksoft), Win32 Sinowal (Norman), Backdoor.Win32.Sinowal (Kaspersky). MBR Rootkit/Mebroot/Sinowal ...

          
    1. #1
      Ex-Colaborador Avatar de GuillermoTell
      Registrado
      abr 2006
      Ubicación
      Colombia
      Mensajes
      8.100

      Investigación Eliminar MBR Rootkit/Mebroot/Sinowal (Malwares del sector de arranque)

      Nombre: MBR Rootkit/Mebroot/Sinowal
      Tipo: Malware con funciones de Rootkit
      Alias: Trojan.Mebroot (Symantec), Troj/Mbroot-A (Sophos), StealthMBR (McAfee), StealthMBR!rootkit (McAfee), TROJ_AGENT.APA (Trend Micro), Trojan.Win32.Agent.dsj (Kaspersky), Win32/Mebroot.A (Computer Associates), Trojan/Mebroot (Hacksoft), Win32 Sinowal (Norman), Backdoor.Win32.Sinowal (Kaspersky).


      MBR Rootkit/Mebroot/Sinowal Pertenecen a una clase de Malwares que atacan directamente al MBR (Master Boot Record) que es el encargado de informarle al sistema operativo que archivo se deberá cargar en el inicio del proceso de arranque.

      Para tomar el control del arranque del sistema y cargarse en memoria de forma permanente y sin ser detectado fácilmente, el malware usa técnicas Rootkit y de esta forma modifica o reemplaza el MBR original por uno que el mismo genera para dificultar su detección y posterior desinfección.

      Además de ocultar su presencia en el sistema, el MBR Rootkit instala una puerta trasera en Windows (Backdoors), la que se encarga de establecer conexiones no autorizadas con servidores remotos para enviar información personal como por ejemplo, datos de cuentas bancarias, etc.


      Esquema de funcionamiento del sistema operativo infectado

    2. #2
      Ex-Colaborador Avatar de GuillermoTell
      Registrado
      abr 2006
      Ubicación
      Colombia
      Mensajes
      8.100

      Investigación Cómo eliminar MBR Rootkit/Mebroot(Malwares del sector de arranque)

      Cómo eliminar MBR Rootkit/Mebroot/Sinowal




      Herramientas necesarias:
      Pasos para la eliminación:

      - Iniciar en Modo Seguro // A prueba de fallos // con conexión a la red.


      - Descargar y actualizar las herramientas antes mencionadas.

      • Malwarebytes Antimalware , instálelo y actualícelo pero no lo ejecute todavía. (Manual de uso)
      • Descargue mbrfix.zip y luego descomprima su contenido en la carpeta mbrfix.

      En el interior de la carpeta encontrará los siguientes archivos:

      • MbrFix.exe (este es el ejecutable para sistemas Windows de 32 bits)
      • MbrFix.html (contiene información adicional sobre la herramienta)
      • MbrFix64.exe (este es el ejecutable para sistemas Windows de 64 bits)
      Para Sistemas Windows de 32 bits:

      • Copie el archivo MbrFix.exe y péguelo en el directorio raíz C:\
        • Quedando de la siguiente manera: C:\MbrFix.exe


      Para Sistemas Windows de 64 bits:

      • Copie el archivo MbrFix64.exe y péguelo en el directorio raíz C:\
        • Quedando de la siguiente manera: C:\MbrFix64.exe




      Ir a Inicio > Todos los programas > Accesorios > Símbolo del sistema

      Para sistemas Windows Vista y Seven, recuerde ejecutar el símbolo del sistema como administrador.

      • Una vez en la ventana MS-DOS


        Escriba el siguiente comando (copie y pegue el código que se encuentra dentro del recuadro de acuerdo a su sistema operativo):



      Para Windows NT, Windows 2000, Windows XP, Windows Server 2003 de 32 bits:

      Código:
      C:/MbrFix /drive 0 fixmbr
      Para Windows Vista de 32 bits:


      Código:
      C:/MbrFix /drive 0 fixmbr /vista
      Para Windows Seven de 32 bits:


      Código:
      C:/MbrFix /drive 0 fixmbr /win7
      Para Windows Vista de 64 bits:


      Código:
      C:/MbrFix64 /drive 0 fixmbr /vista
      Para Windows Seven de 64 bits:


      Código:
      C:/MbrFix64 /drive 0 fixmbr /win7
      Una vez escogido el comando correcto para la versión de Windows que tenga instalado, lo escribe respetando los espacios entre las palabras y verá algo como esto:



      Luego de haberlo copiado haga clic en la tecla Enter (Aceptar) y devolverá lo siguiente:


      You are about to Fix MBR,
      are you sure (Y/N)?
      Elija Y para reparar ó N para salir de la aplicación.


      NOTA:Si tiene mas de un disco duro en el equipo entonces debe repetir el procedimiento para cada uno de ellos, copiando la herramienta MbrFix.exe en la raíz de cada disco duro y ejecutando el comando correspondiente de acuerdo a la letra asignada a cada uno.

      Ejemplo: Tienes dos discos duros físicos (No te confundas con particiones del disco, que es otra cosa). El primer disco duro se llama C y el segundo D. Entonces tendría que copiar la herramienta en la raíz de cada disco duro así:

      C:/MbrFix.exe
      D:/MbrFix.exe


      Y a continuación ejecutar los comandos:

      C:/MbrFix /drive 0 fixmbr
      D:/MbrFix /drive 1 fixmbr



      Donde

      drive 0 = disco duro C

      drive 1 = disco duro D
      - Ejecute MalwareBytes' Antimalware en modo completo , y al terminar oprima QUITAR LO SELECCIONADO, para eliminar las infecciones encontradas.


      - Ejecute CCleaner, para limpiar cookies, temporales y el Registro. Úselo de acuerdo a su manual.


      - Reinicie el equipo y compruebe los resultados realizando un escaneo completo del PC con ESET Online Scanner
      Para mas información:

      ¿Qué son los Rootkits?

      Descargar Antirootkits Gratis.

      Nueva versión del MBR rootkit ha sido descubierta








      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
      Foro Oficial de HijackThis en español