¿Que es y como funciona el mbr?
Primero empecemos por definir MBR (Master_Boot_Record),es un registro de arranque principal, conocido también como registro de arranque maestro o por su nombre en inglés master boot record (abreviado MBR) es el primer sector («sector cero») de un dispositivo de almacenamiento de datos, como por ejemplo un disco duro.
En palabras mas llanas es una porción del disco duro reservada y exclusiva donde se alberga una lista de los sistemas operativos capaces de iniciar el funcionamiento en nuestro PC de un Sistema Operativo. Por ejemplo, cuando instalamos Windows y algún sistema Linux en el mismo equipo el MBR es el encargado de buscar y reconocer cada archivo boot.ini en los respectivos Sistemas Operativos y así permitirnos elegir cual es el sistema operativo que queremos iniciar.
Generalmente el BIOS de un sistema busca un MBR valido en cualquier disco particionado durante la secuencia de arranque, luego de encontrarlo el MBR busca los sistemas operativos disponibles, (así que el master boot record, como otros sectores de arranque, es un blanco para los virus que infectan el sector de arranque). El código del MBR, puede ser modificado por algún malware, para que realice una serie de tareas que son distintas al comportamiento normal del mismo.
Virus en el Master Boot Record.
Todos tenemos mas o menos una idea de lo que es un virus informático (malware, rootkits, etc..) pero aquí una definición por mi parte:
Un virus es un pequeño código creado con el objetivo de causar daños, robo datos o alteraciones en los sistemas infectados, así como su propagación por cualquier medio
Existen las herramientas anti-malware, por ejemplos anti-virus, anti-spyware, etc… Estas herramientas normalmente examinan el disco duro y los archivos en busca de código malicioso escondido. Pero generalmente no buscan en el MBR que siendo una porción del disco duro que se ejecuta puede albergar código malicioso. Cabe aclarar que dar un formateo a nuestro disco duro NO ELIMINA un virus alojado en el MBR.
Por ejemplo el Trojan:DOS/Alureon.A es uno de esos virus que se enfocan en el MBR causando pantallazos azules y síntomas que a cualquier tecnico experimentado le harían pensar en segmentos de memoria dañados, disco duro defectuoso, etc… Al activarse desde el MBR (Master Boot Record), el virus se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.).
Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que los virus no realizan modificaciones directas sobre este y puede pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).
Sintomas de un virus en el MBR
Los síntomas dependen del objetivo que el creador haya tenido en la cabeza, por ejemplo con el mas reciente que me tope, abria conexiones de red para comunicarse con DNS Dinamico (El clasico troyano) pero pueden aparecer muchos que te llenan el monitor de pantallazos azules o simplemente impidan el inicio correcto del sistema operativo.
Como eliminar un virus en el MBR.
Pues lo primero para eliminar un virus en el MBR es encontrarlo y estar seguros de que ese es el problema. Vamos a recomendar la aplicación gratuita de Avast aswMBR.exe ya que tiene una interfaz sencilla y es muy potente.
Después de descargarlo lo ejecutan, al ejecutarlo por primera vez nos preguntara si deseamos actualizar la base de datos, si disponemos de una conexión a internet lo recomendable es actualizar, pues así será mas seguro.
Cuando termine de actualizar nos saldrá algo como esto:
Hacemos clic en SCAN para que comience el análisis, al terminar el análisis tendremos tres opciones, que son: FixMBR, Save Log y Exit. La primera vez que lo ejecutamos solo podemos RESTAURAR EL MBR y para ello hacemos clic en FixMbr.
Posterior a esto reiniciamos el equipo y repetimos el proceso. Los archivos sospechosos aparecerán en rojo, y tenemos la opción de guardar un log para compartirlo en el foro de seguridad, donde personas con conocimientos avanzados puedan ayudarnos.