FANDOM


MBR Infected Shell es un troyano en Microsoft Windows, que sobrescribe y corrompe la Master Boot Sector del usuario infectado.

El troyano fue descubierto en el server de Fosshub que fue hackeado en Agosto del 2016. El atacante gano acceso para reemplazar los archivos tanto de Classic Shell como el de Audacity con un troyano que engaña al usuario haciéndolo pensar que esta descargando un software legitimo. Algunos programas también fueron afectados por este troyano. Sitios web como VirusTotal no detectaban este virus, con lo cual engañaba al usuario pensando que era seguro. Algunos usuario con experiencia en Windows se daban cuenta de que el publicador del software era "Desconocido" cuando ejecutaban el programa afectado, ademas que en comparación a la copia original, la infectada tenia el icono del Escudo de permisos de administrador pequeño que incluye los iconos que requieren estos permisos.

PayloadEditar

Cuando se ejecuta, una ventana se abre rápidamente, que a duras penas el usuario puede percibir, ademas esa ventana es la cmd, que sobrescribe el Master Boot Record, y no ejecuta el instalador original, ademas no requiere acciones adicionales. A este punto el usuario estará sospechando de lo que ejecuto, pero ya es demasiado tarde ya que el MBR se sobrescribió. Cuando el usuario reinicia el PC el usuario se topara con que su MBR fue sobrescribió y reemplazado con este mensaje:

AS YOU REBOOT, YOU FIND THAT SOMETHING HAS OVERWRITTEN YOUR MBR!
IT IS A SAD THING YOUR ADVENTURES HAVE ENDED HERE!

DIRECT ALL HATE TO PEGGLECREW (@skids ON TWITTER)                                    

GREETZ:
ECLIPSO, BUBSV, CONFLICT, WIZARDS OF THE COAST, JEWINVADER
LAGFISH, ROLAND, JOSH BURRESS, JACOB GRUENTZEL, AF, TERIDAX
JOHN CENA, ETHAN RALPH, VINCE (RIP)

El troyano no funciona en disco de partición GUID, o sistemas UEFI con el Secure Boot activado.

EliminaciónEditar

En obligacion para que el MBR pueda ser recuperado, el usuario debe tener un medio de instalacion (Como una USB Booteable con el Windows del usuario en el). Para así ejecutar el modo consola de recovery.

Inserta el medio de instalación (MdI) y reinicia la maquina. Abre el menú de inicio y haz que se inicia desde el MdI. Después de haber elegido el lenguaje principal y etc. Clickea "Siguiente o Next" y clickea en "Reparar o Repair" tu computadora. En Windows Vista o 7 deja que Windows diagnostique el error primero (Pero casi nadie usa Classic Shell en Windows 7 o Vista), cuando Windows haya detectado el error, te va a pedir que reinicies. En Windows 8 es diferente, navega en la pestaña de "Troubleshoot" o "Solucionador de problemas", en opciones adicionales, clickea en "Reparacion de inicio" o "Startup Repair". Deja que Windows diagnostique el error, cuando Windows haya solucionado el problema, debería reiniciar. Entra el setup de Windows otra vez, pero esta vez mantén SHIFT + F10 para abrir el cmd. Desde ahí, escribe "bootrec /fixmbr. Deberias a ver visto un mensaje diciendo "Acción completada" o parecido. Ahora escribe "bootrec /fixboot" y luego reinicia la PC.