Trusa de pornire
Bootkit-ul este un tip recent de virus computerizat, care poate fi văzut ca un hibrid între un virus de tipul care infectează sectoarele de boot și un virus de tip rootkit . Acest tip de virus este foarte greu de eliminat, deoarece este invizibil (aproape total) de pe computerul infectat.
Un bootkit celebru este acela [ Evazivă ] care a infectat Windows Vista sistemul de operare , proiectat de doi programatori indian.
Eliminare
O modalitate de a scăpa de un kit de boot este prin dezinfectarea sau pornirea sistemului de pe orice suport amovibil neinfectat (altul decât hard diskul ), astfel încât să evitați pornirea principală a virusului atunci când porniți computerul .
Pornirea kitului de boot
Pornirea virusului menționat anterior pe un PC este împărțită în două faze:
Încărcarea modulului de pornire a virusului de pe hard disk
Kitul de boot este capabil să infecteze direct hard diskul și să se ascundă în interiorul acestuia, rămânând invizibil, în două moduri:
Editați MBR
Prin schimbarea MBR sau Master Boot Record, primul sector fizic al hard diskului responsabil de pornirea sectorului de boot care la rândul său pornește sistemul. Face acest lucru modificând codul încărcătorului bootstrap, adică instrucțiunile de limbaj al mașinii ( Asamblare ) care sunt executate astfel încât computerul să poată localiza și încărca zonele de încărcare ulterioare în memorie:
Cum să porniți un computer generic:
- BIOS-ul încarcă tabelul MBR și partiția .
- Controlul este transferat în sectorul de boot și în zona parametrilor partiției primare.
- Pornirea efectivă a sistemului de operare cu încărcarea tuturor modulelor.
Virusul poate înlocui codurile MBR cu propriile sale și apoi poate încărca restul punctelor de boot ale unui PC, după ce s-a încărcat în memorie sau prin redirecționarea încărcării sectorului de boot către el însuși, care va încărca următorul sector de boot al activului partiție (care conține sistemul de operare). Această ultimă procedură se practică prin înlocuirea primelor date conținute în tabelul de partiții (partea finală a MBR) cu date care indică poziția fizică a sectorului care conține modulul de boot al virusului, indicând numărul capului care conține cilindru care , la rândul său , conține „infectat“ sector .
Modificarea sectorului de boot
Virusul modifică instrucțiunile conținute în sectorul de încărcare după zona parametrilor partiției active. Aici virusul introduce de obicei codul necesar pentru a încărca cealaltă parte a modulului de boot viral și apoi lasă propriul modul să încarce „sectorul de boot real”, stocat anterior într-o altă locație, astfel încât momentul oportun (de exemplu, să intercepteze un cererea de a citi sectorul de boot) poate afișa versiunea originală a sectorului de boot în loc de cea reală și infectată.
Încărcarea modulului de virus rămas (Rootkit)
Modulul rămas este cel care acționează cu adevărat și rămâne invizibil în interiorul memoriei RAM . Acest modul este încărcat anterior de modulul de pornire viral anterior într-o zonă de memorie RAM, de obicei în regiunile înalte (HIGH-Memory) făcute practic inexistente. Pentru a nu permite computerului să acceseze zona RAM în care se află virusul, virusul scade o valoare specială care indică cantitatea de memorie disponibilă făcând computerul să creadă că acele zone furate nu sunt acolo.
De exemplu: dacă cantitatea de memorie este de 400 MB și 3 MB de memorie, de care virusul are nevoie, este furată, computerul crede că are 397 MB de memorie și nu folosește mai mult.
La rândul său, acest modul poate încărca sistemul de operare sau poate aștepta încărcarea normală a sistemului și apoi se poate activa în anumite condiții (de exemplu, acces la internet). Datorită capacității de a anticipa pornirea sistemului, virusul are privilegii maxime (Ring 0) și nu este supus niciunei restricții administrative (în afară de excepții și limitări fizice ale computerului).
Permanența și invizibilitatea virusului se datorează, de asemenea, unor funcții pe care le-a inserat pentru a intercepta procesele, astfel încât acestea să nu vizualizeze, să deterioreze, să nu șteargă sau să facă nimic care ar putea compromite permanența virusului în sine în sistem.
