VIRUS DE SECTOR DE ARRANQUE

VIRUS DEL SECTOR DE ARRANQUE

Los virus de arranque son conocidos por infectar el sector de arranque de los discos flexibles y el sector de arranque del sector de arranque principal (MBR, por sus siglas en inglés, Master Boot Record) del disco duro. Los virus de arranque actúan sobre la base de algoritmos utilizados para iniciar el sistema operativo cuando el ordenador se enciende o es reiniciado. Una vez que los chequeos de memoria, discos, etc. han concluido, el programa de inicio del sistema lee/ busca el primer sector físico del disco de inicio (A:, C: o el CD-ROM, dependiendo de los parámetros configurados/ instalados en la configuración BIOS y le pasa el control a este sector. Al infectar un disco, los virus de inicio sustituyen el código por el de un programa que adquiere control cuando se inicia el sistema. A fin de infectar al sistema, el virus obligará al sistema a leer la memoria y entregar el control, no al programa de inicio original, sino al código del virus. Los discos flexibles solamente pueden ser infectados de una forma. El virus escribe su código en lugar del código original del sector de arranque del disco. Los discos duros pueden ser infectados de tres formas: el virus escribe su código en lugar del código MBR; el código del sector de arranque del disco de inicio o modifica la dirección del sector de libros activos en la tabla de partición del disco, en el MBR del disco duro. En la amplia mayoría de los casos, al infectar un disco, el virus moverá el sector de arranque original (o MBR) a otro sector del disco, a menudo el primero que encuentre vacío. Si el virus es más largo que el sector, entonces el sector infectado contendrá la primera parte del código del virus y el remanente del código será colocado en otros sectores, por lo general los tres primeros.

VIRUS DE ARRANQUE

Un "virus del sector de arranque" (o virus de arranque) puede infectar el sector de arranque de un disco duro (MBR, Registro de arranque maestro). Este sector es un área del disco duro que se copia en la memoria del ordenador al arrancarlo y luego se ejecuta para comenzar el arranque del sistema operativo.

¿COMO ELIMINAR UN VIRUS DE ARRANQUE?

Uno de los virus más peligrosos y difíciles de vacunar son los que se almacenan en el sector de arranque, ya que es la parte del disco que siempre se revisa primero. Para vacunar un disco con estas características se debe tener en cuenta lo siguiente:

Inicializar la computadora con un disco flexible limpio(sin virus) que contenga los archivos de arranque del MSDOS.
Revisar el disco duro con un antivirus actualizado que examine también los virus tipo macro que actualmente son los que más proliferan.
Después de revisar el disco duro, ejecute el comando del sistema operativo FDISK / MBR, con el fin de reconstruir él sector de arranque.
Si se realizo el procedimiento anterior y continua con problemas, la única solución es formatear el disco duro. De ahí la importancia de mantener copias de respaldo actualizadas (backup) de la información.
Si es necesario recurrir a este procedimiento, es aconsejable realizar el proceso de generación de la tabla de partición mínimo dos veces (utilizando el comando FDISK ). Antes de dejar la tabla definitiva. Buscando asegurar la erradicación total de virus del FAT (File Allocation Table) Esto se debe a que el sistema operativo, en forma automática, crea una copia de la tabla de partición llamada FAT2.

BWME.GSD.1145: Es un virus inofensivo residente en la memoria. Engancha 21h INT e infecta los archivos EXE que se ejecutan o están abiertos. Fue creado con el motor Biological Warfare Mutation Engine - es un motor polimórfico, como los motores de MtE y de la TPE.
BWME.Gangi.1130: Es un peligroso virus parásito residente de la memoria. Intercepta 21h INT y se escribe al final de los archivos EXE que se ejecutan. El virus tiene un error y puede paralizar el sistema. Éste fue creado con el motor Biological Warfare Mutation Engine - es un motor polimórfico.
BWME.Test.1287: Es un virus inofensivo residente en la memoria. Engancha 21h INT e infecta los archivos .COM y .EXE que son ejecutados o abiertos. Fue creado con el motor Biological Warfare Mutation Engine - él es un motor polimórfico, como los motores de MtE y de la TPE.
BWME.Twelve.1378: Es un virus parásito inofensivo residente en memoria. Busca los archivos con extensiónes COM y EXE y los infecta. Fue creado con el motor Biological Warfare Mutation Engine - es un motor polimórfico, como los motores de MtE y de TPE.
Devices.2000: Es un virus inofensivo, parásito polimórfico residente en la memoria. Se escribe a sí mismo al principio del sistema y al final de los archivos EXE. Cuando se está ejecutando un archivo EXE infectado el virus abre el archivo C:\CONFIG.SYS
EICAR-Test-File: EICAR es un pequeño archivo COM de 68-byte que es detectado como virus por programas antivirus, pero en la actualidad NO ES "VIRAL" en lo absoluto. Cuando se está ejecutando muestra un mensaje y vuelve al programa original.
Happy_II.506: Es un virus parásito inofensivo que no reside en la memoria. Busca archivos COM (excepto COMMAND.COM), luego se añade a sí mismo al final del archivo. El virus no se manifiesta de ninguna manera, contiene las siguientes cadenas: com COMMAND. HAPPY v1.03 (C) PROFESSOR,KPI.
Virus.PHP.Feast.a: Virus de script (secuencia de instrucciones) que infecta los ficheros con extensión “.php”. Su tamaño es de 1251 bytes. Está escrito en PHP.
Virus.PHP.Redz: Virus de script (secuencia de instrucciones) que infecta los ficheros con extensión .php, .htm, .html. Su tamaño es de 677 bytes. Está escrito en PHP.
Virus.VBS.Jertva: Virus que infecta los ficheros con extensiones “.htm”, “.html” y “.asp”. Su tamaño es de 1.531 bytes. Está escrito en Visual Basic Script (VBS).
Virus.VBS.Small.a: El programa nocivo consta de dos componentes, el primero de los cuales es un fichero que contiene una secuencia de instrucciones en Visual Basic Script y el segundo es un fichero interpretador de instrucciones. Su tamaño puede ser de 483 a 1.368 bytes.
Virus.Win32.AutoRun.ah: Antivirus para ficheros. es un programa para Windows (fichero PE-EXE). Su tamaño es de 380.416 bytes. Está escrito en Delphi. Instalación Al iniciarse el virus copia su fichero ejecutable: %System%\config\csrss.exe %WinDir%\media\arona.exe.
Virus.Win32.Delf.k: Este virus reemplaza archivos .EXE con su propio código. El virus en sí es un archivo PE EXE de Windows y su tamaño es de 18944 bytes. Está escrito en Delphi.
Virus.Win32.Gpcode.ai: Programa nocivo que cifra los ficheros del usuario en el ordenador infectado. Es un programa para Windows (fichero PE-EXE). Está empaquetado con UPX. Su tamaño es de 58.368 bytes. Las variantes conocidas tenían el nombre “ntos.exe”.
Virus.Win32.Gpcode.ag: Este programa malicioso cifra los archivos del equipo de la víctima. Es un archivo PE EXE de Windows de 64 512 bytes, empaquetado usando UPX. El archivo sin empaquetar tiene un tamaño aproximado de 147KB.
Virus.Win32.Gpcode.ad: Este programa malicioso cifra archivos en el equipo de la víctima. Es un archivo PE EXE de Windows de 61.440 bytes, empaquetado usando UPX. El archivo sin empaquetar tiene un tamaño aproximado de 135KB.
Virus.Win32.Gpcode.ak: Programa nocivo que cifra los ficheros del usuario en el ordenador infectado. El gusano es una aplicación para Windows (archivo PE EXE) y tiene un tamaño de 8030 bytes.
Virus.Win32.Nakuru.a: Este programa contiene una carga maliciosa. Se trata de un archivo Windows PE EXE. Tiene un tamaño de 220.160 bytes. Está comprimido con UPX. El archivo descomprimido tiene un tamaño de 497 KB. Está escrito en Borland Delphi.
Virus.Win32.Saburex.a: Virus para archivos que infecta los archivos ejecutables de Windows. Es una biblioteca Windows DLL, tiene un tamaño de 17.920 bytes. Instalación Al ejecutarse, el virus copia su archivo ejecutable al catálogo del sistema de Windows.
Virus.Win32.Virut.p: Este programa malicioso infecta archivos ejecutables en el equipo capturado. Este archivo tiene un tamaño de 94.208 bytes. Nunca viene comprimido.