Así de cabeza no lo recuerdo, pero ese virus se carga en el MBR y cada vez que te lee de HD (para lo que sea) se mete en memoria, con lo que al quedarse en memoria, vuelve a meterse en el MBR... así que aunque ejecutes fdisk /mbr se te vuelve a colocar... yo en su día ya me pegué con el y fueron sesiones y sesiones... a ver si puedo buscar un poco de información del bicho ese.
A ver... esto lo he sacado de la página de Panda (hubiera puesto el enlace a la página, pero no me dejaba, no salía nada):
Descripción breve:
Se trata de un virus de BOOT, que infecta el sector de arranque de los disquetes (BOOT) y el de los discos duros (MASTER BOOT). Además trabaja de manera encriptada o cifrada mediante una operación XOR (OR-Exclusive) con máscara de byte. Se colocará como residente en la memoria y concretamente en la TOM (Top Of Memory).
Utiliza la técnica Stealth, mediante al cual coloca en otra sección del disco el Boot original de tal forma que el Boot infectado queda ubicado dónde el correcto se encontraba en un principio. El Boot correcto u original se almacena en otro lugar, pero no se guarda cifrado o encriptado.
Desde la memoria en la que se encuentra residente, infecta el sector de arranque de todas las unidades de disco a las que se acceda: disquetes y unidades de disco duro. Sin embargo, para infectar un disco duro se debe cumplir el requisito previo de haber arrancado el PC con un disquete infectado.
Modo de propagación
Por tratarse de un virus de Boot, Sevilla2 se propagará utilizando para ello los disquetes. Si estos se encuentran infectados y desde ellos se arranca un ordenador, el Master Boot del disco duro será igualmente infectado. Al utilizar ese disquete en otros PC's, se corre el peligro de realizar infecciones.
Por otro lado, si el virus Sevilla2 ya hubiese infectado un ordenador y se encontrase activo y residente en memoria, éste puede contagiar o infectar a todos aquellos disquetes que se utilicen en dicho ordenador. Una forma de impedir la infección del disquete es protegerlo contra escritura, desplazando la pestaña a tal afecto que éste contendrá en la parte inferior. Evidentemente esto impide copiar información sobre el disco, pero si leer la que contiene.
Métodos de infección
El método mediante el cual se produce la infección de las unidades de disco duro existentes en un ordenador es mediante el arranque de éste desde un disquete infectado por el virus Sevilla 2, aunque dicho disquete no sea de sistema (no contiene los ficheros de sistema, que permiten arrancar el PC). Cuando se realiza la infección en sistemas con Windows NT, puede ser necesaria la reinstalación del sistema operativo.
Para colocarse como residente en la memoria, quita el espacio de 1 Kbyte a la TOM (Top Of Memory), para ubicarse en ella. Desde allí estará alerta para infectar cualquiera de los disquetes a los que se acceda, interceptando la interrupción INT 13, que proporciona los servicios BIOS del disco.
Para llevar a cabo cualquiera de sus actividades, Sevilla2 desactiva la protección antivirus establecida en la CMOS contra los virus de Boot. De esta forma evita ser detectado.
Por tratarse de un virus Stealth moverá el correcto y original sector de arranque (boot) del disco infectado de tal forma que estando éste en el sector 0, cara 1, cilindro 0 (lugar en el que se encuentra siempre el sector de arranque de un disco), se llevará al sector 14, cara 0, cilindro 0. De todas formas este boot original no es cifrado o encriptado por el virus, ya que de esta forma, su recuperación le será más sencilla. En la sección donde se encontraba el Boot original se coloca el Boot infectado.
