Virus de Boot

Virus de Boot

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clé:
Virus Réplication, secteur de boot,
boot sector, zone d'amorce,
zone d'amorçage, mbr,
master boot record
 
 
Les virus de boot se servent de cette forme d'infection aussi bien pour leur réplication que pour leur propagation.
  • Form, Disk Killer, Michelangelo et Stoned sont des exemples de virus infectant le secteur d'amorçage (BootLoader (chargeur d'amorçage)) qui se trouve sur la partition active.

  • NYB, AntiExe et Unashamed sont des exemples de virus infectant le secteur d'amorçage principal (MBR - Master Boot Record) lorsqu'il y a plusieurs partitions sur un volume.

  • One_Half, Emperor, Anthrax ou Tequilla, sont des virus infectant les exécutables et les secteurs de boot. On les appelle parfois "virus multimode" - si le secteur de boot est nettoyé mais pas les fichiers exécutables, le secteur de boot sera ré-infecté. Si les fichiers sont désinfectés mais pas le secteur de boot, les fichiers seront à nouveau contaminés).

Les virus de Boot s'implantent dans une zone spécifique de la partition de démarrage d'un ordinateur : les deux premiers secteurs adressables (cylindre 0, tête 0, secteur 0 et 1) des disques durs bootables et des disquettes bootables (même si ces disquettes ne contiennent aucun programme exécutable mais uniquement des données). Cette zone est appelée MBR - Master Boot Record (ou Zone d'amorce, Zone d'amorçage). D'une taille de 512 octets, cette zone comporte la table d'allocation des partitions primaires (les pointeurs vers les 4 premières partitions - partitions de type "primaire") et un petit programme, appelé le "BootStrap" (le "lanceur", le "coup de pied au cul"), lancé par le Bios après le POST (Power On Self Test - les tests matériel que fait le Bios à la mise sous tension de l'ordinateur ou lors de son redémarrage), dont la travail est de lancer un second programme, le BootLoader (chargeur d'amorçage) qui se trouve sur la partition active. Ce second programme prend alors en charge le chargement et le lancement d'un troisième programme, le système d'exploitation.

Tout ceci se passe bien avant qu'un quelconque antivirus ou anti-spywares ou pare-feu applicatif ne soit appelé, bien avant que Windows ou Linux ne se charge.

Si le BootStrap est modifié par un virus, il assurera le chargement et le lancement d'un virus avant quoi que ce soit. De là, le virus, sûr d'être toujours lancé, infestera d'autres fichiers (réplication) et, surtout, d'autres supports de manière à assurer son transport vers d'autres machine (propagation).

C'est LE type de virus pour infester des disquettes, disques amovibles amorçables (bootables) et autres supports à partir desquels un ordinateur peut démarrer (CD-Rom...) ! C'est donc un peu archaïque mais extrêmement ennuyeux car la correction de ce genre d'attaques est très délicate et conduit souvent au reformatage pur et simple du disque infecté.

Les virus de Boot infestent donc le BootStrap pour être exécutés à chaque démarrage d'un ordinateur avant tout autre programme. Ils s'installent en lieu et place du BootStrap qu'ils déplacent un peu plus loin sur le disque dur et en lancent l'exécution eux-mêmes, sous leur contrôle.

Protéger le MBR :
Vous avez, dans les BIOS de vos machines, un paramètre appelé "Antivirus". Ce n'est pas réellement un antivirus mais une surveillance de toute tentative de modification du MBR. Cet "antivirus" devrait toujours être activé afin de verrouiller la zone MBR. C'est une interdiction d'écrire dans ces zones que vous devez positionner sur "on" ou "actif" dès après l'installation du système d'exploitation. Aucun autre programme ne devra, par la suite, vous demander l'autorisation de modifier le BootStrap (sauf l'installation de votre antivirus à qui vous donnerez le droit de le faire puisque certains antivirus tente de se lancer avant le système d'exploitation afin d'avoir un contrôle total des flux et exercer leurs analyses dès l'appel du BootLoader).

Sauvegarder / Restaurer un MBR
Windows : utiliser debug
UNIX / Linux : utiliser dd et sauvegarder / restaurer le premier secteur uniquement (les 512 premiers octets du disque).
Attention : ne jamais tenter de restaurer un MBR d'un disque avec la sauvegarde du MBR d'un autre disque. Les pointeurs des partitions (la table des partitions) seraient perdus et donc l'intégralité des contenus de toutes les partitions serait perdu (le seul cas envisageable est lorsqu'un parc de machines est strictement homogène dont, en particulier, les disques sont de même marque, même modèle et sont tous partitionnés exactement de la même manière avec le même outil).

Réparer le MBR
Windows XP : utiliser la commande fixmbr depuis la console de récupération.
Windows Vista : utiliser la commande bootrec /FixMbr depuis la console de récupération.
Attention : ces réparations sous Windows, sur des machines multiboot, sont égoïstes et, si le MBR initial pointait vers un amorçage de Linux (GRUB, LILO), celui-ci est remplacé par le démarrage de Windows. Il faut alors utiliser un CD-ROM Linux et faire une installation ou restauration pour récupérer le multiboot.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

04.02.2008 Révision
 
   
Rédigé en écoutant :
Music