Proyectos, Noticias, Experiencias, pruebas...

Nuevos Virus – 12/08/2011

Bootlock.B

Troyano para Windows que infecta el Sector de Arranque del disco duro (Master Boot Record) impidiendo que se pueda arrancar el ordenador hasta que no sea introducido un código correcto

 

Detalles técnicos

Infección/Efectos

Cuando Bootlock.B se ejecuta, realiza las siguientes acciones:

Ficheros y carpetas
  1. Crea los siguientes ficheros
    • “%Temp%fpath.txt”
    • “%Temp%x2z8.exe”

Infecta el Sector de Arranque del disco duro (Master Boot Record – MBR) del ordenador, realizando las siguientes acciones:

  • Moviendo el primer sector del Master Boot Record, al segundo sector (offset 0x200)
  • Sobreescribiendo los sectores 5 a 8 con un mensaje aleatorio incrustado en su código

Cuando se enciende un ordenador con el MBR infectado se muestra por pantalla una mensaje aleatorio que solicita un código para desbloquear el equipo.

Si se introduce el código correcto, restaurará el MBR original del segundo sector, para que Windows pueda ser iniciado de forma normal.

 

Contramedidas

Desinfección
  1. Restaure el sector de arranque, para ello siga estos pasos:
    1. Inserte el CD de instalación de Windows
    2. Reinice el ordenador para que se ejecute desde el CD
    3. En el menú de opciones que le aparerá, seleccione la opción de «Recuperación de una instalación de Windows»
    4. Dentro de la consola de recuperación preguntará en qué sección de windows desea iniciar sesión, para ordenadores que sólo tengan Windows instalado, vale con seleccionar 1 y pulsar Enter
    5. Cuando lo pida el sistema, escriba la contraseña de Administrador del Sistema y pulse Enter
    6. Cuando aparezca el símbolo del sistema escriba la siguiente instrucción y pulse Enter
  2. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual deCómo iniciar su computadora en Modo a prueba de fallos.
  3. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

    Elimine los siguientes ficheros:

    • %Temp%fpath.txt
    • %Temp%x2z8.exe

    Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
    Por defecto puede ser C:Windowstemp (XP/Vista y 7), C:Winnttemp (Windows NT/2000), C:documents and settings{nombre de usuario}local settingstemp (Windows XP) o C:Usuarios{nombre de usuario}AppDataLocalTemp (Windows Vista y 7).

  4. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
    En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña ‘Procesos’ pulse con el botón derecho en el proceso y seleccione ‘Terminar Proceso’. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección “Administrador de Tareas”, de la página Eliminar librerías .DLL o .EXE.
  5. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.
  6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

No se han encontrado comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*

    Translate to:

Categorías