Viermele Zimuse şi utilitarul MBRFix
Plecând de la ideea că acesta nu este un blog dedicat exclusiv ameninţărilor informatice sau soluţiilor de securitate (două dintre dintre categoriile prezente dealtfel), şi fiindcă există surse de informare credibile, am evitat să mă aventurez într-o zonă pe care-o consider acoperită.
Cu excepţia lui Conficker, viermele de internet de care mă tot ciocnesc de vreun an încoace, nu am considerat oportună ideea popularizării acestor dăunători (eng. malware), mizând în schimb pe un alt gen de articole şi promovând o conduită, unde prevenţia este mai importantă decât reparaţia.
Metodele de dezinfecţie, oricât ar fi ele de eficiente, presupun că răul a fost deja făcut, scopul lor fiind acela de a minimiza pagubele. Prin comparaţie, gândiţi-vă la acţiunea unei firme de deratizare care poate să facă locul „lună”, asta neinfluenţând în vreun fel istoricul zonei. Şi n-am adus întâmplător în discuţie subiectul deratizării, fiindcă un alt vierme de internet, Zimuse, riscă să stârnească o legendă în jurul său. Pe scurt, şi fiindcă nu Zimuse, în oricare dintre cele două variante (Worm.Zimuse.A, Worm.Zimuse.B) este subiectului articolului de azi, vă spun doar că orice legendă are un „strop” de adevăr … însă atât şi nimic mai mult.
Zimuse NU „strică” hard disk-uri, NU vă trimite la garanţie şi, ce este cel mai important, NU trebuie să cumpăraţi un nou calculator. Informaţiile de pe suportul fizic pot fi recuperate în cele mai multe cazuri, dar este important să înţelegem cum acţionează acest vierme, pentru a ne lua câteva măsuri de protecţie.
De ce este periculos Worm.Zimuse.Gen / Zimuse ?
Două sunt motivele pentru care aceste vierme de internet este mai periculos decât mulţi dintre confraţii săi. În primul rând, în funcţie de variantă (A sau B) între momentul infectării sistemului şi cel în care Zimuse trece la acţiune, se scurg 40, respectiv 20 de zile, perioadă în care sistemul de comportă normal. Doi. Odată declanşat, Zimuse suprascrie sectorul MBR (Mater Boot Record), ceea ce face imposibilă rularea sistemului de operare.
Dar mai întâi, ce este MBR-ul ?
MBR, numit şi sectorul de boot sau sectorul de partiţii (a nu se confunda cu tabela de partiţii) este primul sector al disk-ului (cilindrul 0, capul 0, sector 1) şi reprezintă primii 512 baiţi (eng. bytes). De aici începe procesul de boot-are, respectiv încărcarea sistemului de operare.
Probabil că cei mai mulţi dintre voi, aţi folosit deja un sistem dual-boot (fie două instalări de Windows, ori Windows şi Linux) şi cunoaşteţi acel meniu de start, de unde optaţi pentru un sistem sau altul. Ei bine, meniul respectiv este parte integrantă a sectorului de boot, a MBR-ului de care vă vorbesc, iar dacă MBR-ul lipseşte sau este denaturat, PC-ul nu va boot-a de pe acel disk.
Voi reveni cu un articol dedicat MBR-ului, numai bun de integrat la categoria „Materiale teoretice”, însă pe moment ajunge. Cred că am lămurit esenţialul: MBR-ul reprezintă date, iar atunci când avem pe „mână” informaţii importante, care este cea mai sigură metodă de protecţie ? BACKUP-UL de siguranţă !
MBRFix
URL: http://www.sysint.no/nedlasting/mbrfix.htm
Un utilitar pe care l-am folosit cu succes în astfel de acţiuni (backup, restaurare şi chiar repararea unui MBR) este MBRFix, ajuns între timp la versiunea 1.3.0.0 şi care suportă TOATE sistemele de operare Windows (Windows NT, 2K, XP, Windows Server 2003 / 2008, Windows Vista, Windows 7, Windows PE), ediţiile pe 32, dar şi pe 64 de biţi. Rar mi se întâmplă să laud un program, însă în acest caz o excepţie se impune, cu atât mai mult cu cât discutăm despre o soluţie gratuită.
MBRFix. Casetă tehnică:
Producător: Systemintegrasjon AS
Cost (licenţă): Gratuit (freeware)
Cerinţe de sistem: Windows 2K – Windows 7 (32 / 64 biţi)
Versiune disponibilă: 1.3.0.0
Primul pas este să descărcăm MBRFix şi la o primă vedere, constatăm că arhiva mbrfix.zip conţine 3 fişiere: MbrFix.exe, MbrFix64.exe, respectiv MbrFix.htm. Nu cred că trebuie să mai explic ce reprezintă acel 64 plasat înaintea extensiei, după ce vorbit în prealabil despre compatibilitatea cu sistemele de operare pe 64 de biţi, iar html-ul este un scurt ghid de utilizare.
URL: http://www.sysint.no/…/language/en-US/Default.aspx
Probabil că ar fi necesar un articol întreg dedicat lui MBRFix, pentru a explica în detaliu ce se poate face cu acest utilitar, însă dat fiind faptul că timpul ne presează, voi prezenta doar operaţiunile „de bază”.
Rularea fişierului MbrFix.exe se face din linia de comandă (acel ecran negru), iar structura comenzilor este următoarea, cu menţiunea că numărarea hard disk-urilor se face de la „zero” (şi avem drive 0, drive 1, ş.a.m.d., iar a partiţiilor de la „unu”.
MbrFix /drive {/partition} { /yes } { /byte }
mbrfix /drive 0 driveinfo
Afişează informaţii despre primul hard disk.
mbrfix /drive 0 drivesize
Afişează capacitatea primului hard disk.
mbrfix /drive 0 listpartitions
Afişează partiţiile prezente pe primul hard disk, precum şi tipul acestora.
Asta a fost „de antrenament”. Acum urmează lucrurile serioase.
mbrfix /drive 0 savembr backup-hdd0.bin
Este comanda de backup, rezultatul fiind un fişier cu extensia *.bin (arbitrar l-am numit backup-hdd0), copia fidelă a MBR-ului actual.
mbrfix /drive 0 restore backup-hdd0.bin
Restaurează MBR-ul actual cu imaginea din backup. În mod normal, după lansarea comenzii suntem puşi în situaţia de a alege (Y/N), dar dacă doriţi ca actualizarea să se facă automat, comanda devine:
mbrfix /drive 0 restore backup-hdd0.bin /yes
mbrfix /drive 0 fixmbr
Repară MBR-ul actual, fiind poate cea mai des folosită comandă a aplicaţiei şi motivul pentru care autorul a dezvoltat MBRFix de la bun început. Eu aşa am scăpat de GNU GRUB, un boot manager lăsat în urmă de un linux rebel.
Şi aici, comanda poate să sufere particularizări, asta în afară de parametrul /yes.
mbrfix /drive 0 fixmbr /vista
mbrfix /drive 0 fixmbr /windows7
Ultima din lista de azi, este comanda ce şterge rapid partiţiile.
mbrfix /drive 0 clean
La final…
Nu ştiu dacă am precizat, însă este evident că aceste modificări nu se pot face decât de pe un cont cu drepturi de administrare. În plus, MBRFix este o unealtă extrem de puternică, iar folosirea ei incorectă poate atrage după sine pierderea unor date importante. NU experimentaţi cu MBRFix, mergând pe ideea „what this button do”.
UBCD (Ultimate Boot CD) pentru Windows, BartPE sau WinPE sunt doar câteva dintre cd-urile de salvare, gândite special pentru situaţiile în care apar astfel de probleme (precum coruperea MBR-ului), însă trebuie procedat cu atenţie.
Viermii de internet tind să capete un potenţial din ce în ce mai distrugător, iar ameninţări trecute de mult în paginile enciclopediilor (precum CIH-ul de la începutul lui ’99), tind revin în prim-plan. Dar după cum vă spuneam şi la începutul articolului, e mai indicat să prevenim în loc să reparăm şi putem face acest lucru foarte uşor, descărcând utilitarul dezinfecţie Zimuse (zimuse-removal-tool.exe), pus la dispoziţie ca de obicei de BitDefender.
Zimuse. Utilitar pentru dezinfecţie
URL: http://www.zimuse.com/download-removal-tool.php
Ce spuneţi ? Expres v-am prezentat MBRFix înaintea utilitarului pentru dezinfecţie şi linia comandă anterior interfeţei grafice.
Acestea fiind spuse, sper să vă găsiţi timp pentru un backup al MBR-ului şi nu uitaţi să folosiţi un antivirus care oferă protecţie activă, de preferinţă unul cât mai performant. O zi plăcută vă doresc.
Materiale bibliografice:
- http://www.stefamedia.ro/viermii-de-internet/
- http://www.faravirusi.com/2010/01/27/virusul-zimuse-distruge-mbr-ul-hard-disk-ului-devirusare/
- http://en.wikipedia.org/wiki/CIH_%28computer_virus%29
- http://en.wikipedia.org/wiki/Master_boot_record
- http://www.eset.eu/encyclopaedia/win32-zimuse-a-trojan-startpage-g-generic-1729691-threat-sysvenfakp-based-maximus
- http://www.malwarecity.com/blog/malware-alert-win32wormzimusea-the-hard-disk-wrecker-736.html
- http://www.zimuse.com/what-is-zimuse.php
- http://www.miljan.org/main/2007/09/05/easy-way-to-read-mbr/
MBRfix chiar e un lucru minunat in aceasta lume complicata. Dar daca mai aud de mbr sau boot mgr in urmatoarea perioada voi face un plonjon pe geam
De ce Marius ? Nu-mi spune că te-ai jucat cu Windows 7 şi Linux în acelaşi timp ?
În acest caz, ar fi trebuit să mă grăbesc cu articolul… MbrFix este o unealtă extrem de bună şi, poate cel mai important, uşor de folosit. Doar voinţă să existe.
E posibil ca o astfel de infectare sa duca in ultima faza pana la nerecunostrerea hdd-ului de catre bios? si daca se ajunge pana aici se mai poate face ceva?
Salut Costin
Dacă hdd-ul în discuţie este setat corect (şi mă refer la jumper-i), iar cablul nu este întrerup, ar trebui să ţi-l recunoască în BIOS, indiferent de gradul de funcţionalitate. În caz contrar, problema e ceva mai serioasă şi nu ştiu să existe altă soluţie decât desfacerea incintei şi mutarea platanelor. Hardul respectiv nu se mai repară, tot ce poţi spera este o recuperare a datelor (de către o firmă specializată).
Ca să-ţi răspund şi la prima întrebare, nu virusul este cel responsabil, sau cel puţin nu vreun virus care să afecteze hadd-ul (l-am menţionat pe zimuse).
Eu am avut hdd-ul respectiv la un laptop. e un hitachi de 160 Gb pe sata. totul a mers bine pana intr’o zi cand am lasat calculatorul pornit. a intrat in stand-by si cand am repornit calculatorul nu mi l’a mai recunoscut. nu a fost nici un soc de tensiune, nici nu aud vre’un zgomot mecanic la el. l’am probat la cineva printr’un hub pe usb si a descoperit un nou dispozitiv dar nu a stiut ce e. probabil ca partea electronica… multumesc penrtu raspunsul anterior. o zi buna iti doresc.
“Repară MBR-ul actual, fiind poate cea mai des folosită comandă a aplicației și motivul pentru care autorul a dezvoltat MBRFix de la bun început. Eu așa am scăpat de GNU GRUB, un boot manager lăsat în urmă de un linux rebel.” …. mi-am permis sa te citez dintr-un singur motiv … mai nou acum cu apariția Windows 7, partea de boot la care te referi tu “aia rebelă” este acum Windows 7 …. cu aşa ceva mă confrunt eu acum pe un Laptop !
Salut @yo9fah
MbrFix este compatibil cu Windows 7 şi operaţiunile (savembr, restorembr sau fixmbr) sunt suportate. Ce problemă ai cu MBR-ul ?
Nu am o problema prea tragică, numai că la un dual boot pe laptop (XP & Win 7, instalat anterior) … apare secvența de boot de la Win 7, în rest este ok. Dacă şterg partiţia doi, unde a fost instalat Win 7, aia tot rămâne … nu că mă deranjează, dar chiar mă enervează !
Încearcă mbrfix /drive 0 fixmbr
Mai este un lucru de precizat, mai ales pentru un începător: când se aplică comanda din linia de comandă, de care linie de comandă este vorba, cea în care boot-ezi cu CD-ul de XP sau fiind deja în sistemul de operare și accesând Linia de comandă !? Consider că era necesar câteva precizări, mai ales pentru cei care sunt la început, … cum am mai spus … !