Virus de Boot
Virus de Boot
Les virus de boot se servent de cette forme d'infection aussi bien pour leur réplication que pour leur propagation.
Tout ceci se passe bien avant qu'un quelconque antivirus ou anti-spywares ou pare-feu applicatif ne soit appelé, bien avant que Windows ou Linux ne se charge.
Si le BootStrap est modifié par un virus, il assurera le chargement et le lancement d'un virus avant quoi que ce soit. De là, le virus, sûr d'être toujours lancé, infestera d'autres fichiers (réplication) et, surtout, d'autres supports de manière à assurer son transport vers d'autres machine (propagation).
C'est LE type de virus pour infester des disquettes, disques amovibles amorçables (bootables) et autres supports à partir desquels un ordinateur peut démarrer (CD-Rom...) ! C'est donc un peu archaïque mais extrêmement ennuyeux car la correction de ce genre d'attaques est très délicate et conduit souvent au reformatage pur et simple du disque infecté.
Les virus de Boot infestent donc le BootStrap pour être exécutés à chaque démarrage d'un ordinateur avant tout autre programme. Ils s'installent en lieu et place du BootStrap qu'ils déplacent un peu plus loin sur le disque dur et en lancent l'exécution eux-mêmes, sous leur contrôle.
Protéger le MBR :
Vous avez, dans les BIOS de vos machines, un paramètre appelé "Antivirus". Ce n'est pas réellement un antivirus mais une surveillance de toute tentative de modification du MBR. Cet "antivirus" devrait toujours être activé afin de verrouiller la zone MBR. C'est une interdiction d'écrire dans ces zones que vous devez positionner sur "on" ou "actif" dès après l'installation du système d'exploitation. Aucun autre programme ne devra, par la suite, vous demander l'autorisation de modifier le BootStrap (sauf l'installation de votre antivirus à qui vous donnerez le droit de le faire puisque certains antivirus tente de se lancer avant le système d'exploitation afin d'avoir un contrôle total des flux et exercer leurs analyses dès l'appel du BootLoader).
Sauvegarder / Restaurer un MBR
Windows : utiliser debug
UNIX / Linux : utiliser dd et sauvegarder / restaurer le premier secteur uniquement (les 512 premiers octets du disque).
Attention : ne jamais tenter de restaurer un MBR d'un disque avec la sauvegarde du MBR d'un autre disque. Les pointeurs des partitions (la table des partitions) seraient perdus et donc l'intégralité des contenus de toutes les partitions serait perdu (le seul cas envisageable est lorsqu'un parc de machines est strictement homogène dont, en particulier, les disques sont de même marque, même modèle et sont tous partitionnés exactement de la même manière avec le même outil).
Réparer le MBR
Windows XP : utiliser la commande fixmbr depuis la console de récupération.
Windows Vista : utiliser la commande bootrec /FixMbr depuis la console de récupération.
Attention : ces réparations sous Windows, sur des machines multiboot, sont égoïstes et, si le MBR initial pointait vers un amorçage de Linux (GRUB, LILO), celui-ci est remplacé par le démarrage de Windows. Il faut alors utiliser un CD-ROM Linux et faire une installation ou restauration pour récupérer le multiboot.
- Form, Disk Killer, Michelangelo et Stoned sont des exemples de virus infectant le secteur d'amorçage (BootLoader (chargeur d'amorçage)) qui se trouve sur la partition active.
- NYB, AntiExe et Unashamed sont des exemples de virus infectant le secteur d'amorçage principal (MBR - Master Boot Record) lorsqu'il y a plusieurs partitions sur un volume.
- One_Half, Emperor, Anthrax ou Tequilla, sont des virus infectant les exécutables et les secteurs de boot. On les appelle parfois "virus multimode" - si le secteur de boot est nettoyé mais pas les fichiers exécutables, le secteur de boot sera ré-infecté. Si les fichiers sont désinfectés mais pas le secteur de boot, les fichiers seront à nouveau contaminés).
Tout ceci se passe bien avant qu'un quelconque antivirus ou anti-spywares ou pare-feu applicatif ne soit appelé, bien avant que Windows ou Linux ne se charge.
Si le BootStrap est modifié par un virus, il assurera le chargement et le lancement d'un virus avant quoi que ce soit. De là, le virus, sûr d'être toujours lancé, infestera d'autres fichiers (réplication) et, surtout, d'autres supports de manière à assurer son transport vers d'autres machine (propagation).
C'est LE type de virus pour infester des disquettes, disques amovibles amorçables (bootables) et autres supports à partir desquels un ordinateur peut démarrer (CD-Rom...) ! C'est donc un peu archaïque mais extrêmement ennuyeux car la correction de ce genre d'attaques est très délicate et conduit souvent au reformatage pur et simple du disque infecté.
Les virus de Boot infestent donc le BootStrap pour être exécutés à chaque démarrage d'un ordinateur avant tout autre programme. Ils s'installent en lieu et place du BootStrap qu'ils déplacent un peu plus loin sur le disque dur et en lancent l'exécution eux-mêmes, sous leur contrôle.
Protéger le MBR :
Vous avez, dans les BIOS de vos machines, un paramètre appelé "Antivirus". Ce n'est pas réellement un antivirus mais une surveillance de toute tentative de modification du MBR. Cet "antivirus" devrait toujours être activé afin de verrouiller la zone MBR. C'est une interdiction d'écrire dans ces zones que vous devez positionner sur "on" ou "actif" dès après l'installation du système d'exploitation. Aucun autre programme ne devra, par la suite, vous demander l'autorisation de modifier le BootStrap (sauf l'installation de votre antivirus à qui vous donnerez le droit de le faire puisque certains antivirus tente de se lancer avant le système d'exploitation afin d'avoir un contrôle total des flux et exercer leurs analyses dès l'appel du BootLoader).
Sauvegarder / Restaurer un MBR
Windows : utiliser debug
UNIX / Linux : utiliser dd et sauvegarder / restaurer le premier secteur uniquement (les 512 premiers octets du disque).
Attention : ne jamais tenter de restaurer un MBR d'un disque avec la sauvegarde du MBR d'un autre disque. Les pointeurs des partitions (la table des partitions) seraient perdus et donc l'intégralité des contenus de toutes les partitions serait perdu (le seul cas envisageable est lorsqu'un parc de machines est strictement homogène dont, en particulier, les disques sont de même marque, même modèle et sont tous partitionnés exactement de la même manière avec le même outil).
Réparer le MBR
Windows XP : utiliser la commande fixmbr depuis la console de récupération.
Windows Vista : utiliser la commande bootrec /FixMbr depuis la console de récupération.
Attention : ces réparations sous Windows, sur des machines multiboot, sont égoïstes et, si le MBR initial pointait vers un amorçage de Linux (GRUB, LILO), celui-ci est remplacé par le démarrage de Windows. Il faut alors utiliser un CD-ROM Linux et faire une installation ou restauration pour récupérer le multiboot.
| Historique des révisions de ce document : |
|
04.02.2008 Révision
|
Rédigé en écoutant :
Music
Music