Nueva utilidad de SATINFO para activar particiones de discos duros modificadas por virus.

Una nueva moda, que fastidia de lo lindo al usuario, consiste en guardar el código virico en una zona normalmente no accesible del disco duro, como es el “landing zone” o zona destinada a ubicar los cabezales con el disco duro parado, “zona de aterrizaje”, de forma que no haya datos que puedan ser dañados por los traqueteos del transporte, por ejemplo en portátiles.

Pero en dicha zona, si se habilita, pueden haber datos, y ultimamente estamos observando que “algo” impide escribir en el MBR, pero no por su código, sino por un residente que se carga al arrancar el equipo, y tras ver que ello sucede incluso en un disco duro con dicha caracteristica, incluso tras haberlo formateado, hemos visto que realmente lo qe sucede es que “algo” ha habilitado un añadido de 17000 sectores (unos 9 MB) en una particion al final de la normal existente, y ha marcado esta como activa (bootable), desactivando la normal, de forma que el arranque del disco duro lo hará desde la “pequeña” de 9 MB, cargando lo que allí haya, que resulta ser un arranque de windows copiado de la particion normal, mas el codigo virico deseado, tras lo cual pasa el control a la particion “grande”, de varios Gigas, donde carga las aplicaciones y funciona aparentemente normal, pero con un residente inicial “añadido”.

Esto ya lo conociamos del ALUREON FE, pero sin que lo aprovecharan para cargar el residente indicado, y tampoco impedían la escritura del MBR, por lo que se podía modificar la particion de arranque, pero ahora con alguna variante (y se supone que las proximas serán asi), no hay acceso a poder modificar dicho sector, aparte de lo delicado que ello es y para lo que se requieren conocimientos y herramientas al respecto.

Adelantandonos al problema que prevemos y para cuando el ELISTARA o el SPROCES indiquen ERROR DE ESCRITURA EN MBR , y que ni con un FIXMBR o BOOTREC /FIXMBR , segun versiones del S.O., se corrija dicho error, por lo indicado que el problema no está en el código de dicho sector, sino en los datos de particion activa, hemos creado la nueva utilidad “ACTIVE PARTITION” , ACTIPART.EXE para activar la particion con la que se quiere que arranque el disco duro, normalmente la principal del primer disco duro, para lo cual se deberá haber arrancado con un LIVE CD, tipo BART PE o Pilitos, o con un pendrive botable de windows, o bien colocar el disco afectado como esclavo de un PC limpio, y ejecutar la utilidad ACTIPART.EXE , la cual visualizará las unidades fisicas e indicará cual de ella tiene dicha particion añadida que será del tipo 17

En este disco duro se le marcará que la particion principal sea la de arranque, y con ello se aparcará el codigo malicioso contenido en la particion pequeña, pudiendo arrancar normalmente tras ubicar el disco duro como estaba inicialmente, o sacando el CD o pendrive utilizado para arrancar.

Dicha utilidad solo debe usarse cuando persista el problema de “ERROR DE ESCRITURA EN MBR” tras haber probado corregir el codigo con el FIXMBR o el BOOTREC /FIXMBR antes indicados.

Se avisa que el MBR es un sector reservado muy delicado, y que la manipulacion incorrecta puede conllevar la pérdida de acceso a la unidad en cuestión, incluidos los datos que esta contuviera, por lo que debe utilizarse por personal especializado con experiencia, declinando por nuestra parte toda posible perdida de datos que su utilizacion pudiera causar.

Cabe indicar que de momento solo nos hemos encontrado con esta incidencia en unas decenas de ordenadores, y es en prevision de un aumento de las incidencias que hemos desarrollado esta utilidad para solucionar los casos en que persista el ERROR DE ESCRITURA EN MBR tras las operaciones pertinentes para corregir dicha anomalía

saludos

ms, 7-5-2012