Virus : Secteur Infectors (BSIs) D'Initialisation

Share

|

Ces virus PC-SPÉCIFIQUES infectent le disque principal de disque d'Initialisation et/ou d'Initialisation de DOS. En même temps, ces virus ont compté pour la majorité d'incidents rapportés, mais maintenant ils constituent une proportion de diminution de tout le nombre de menaces trouvées dans le sauvage, et nouveau BSIs sont quelque chose d'une rarité. Ceci pourrait refléter le fait que les gens emploient maintenant de plus en plus l'email et les réseaux plutôt que les disquettes pour échanger des dossiers. Le fait qu'il est plus difficile d'écrire ce que de macro virus et virus scripting (ou même virus de dossier) est également approprié.

Quand un PC moderne initialise, il passe par un processus appelé l'essai d'Art de l'auto-portrait de Power On (POTEAU). Cette étape du processus d'initialisation inclut vérifier des composants de matériel. Une partie de son information vient de l'information stockée dans CMOS, particulièrement l'information concernant le disque et le type et la configuration de mémoire. Si les arrangements de CMOS n'assortissent pas la géométrie réelle d'entraînement, la machine ne pourra pas trouver des secteurs et des dossiers de système où ils devraient être, et ne finira pas le processus d'initialisation.

Le disque principal d'Initialisation (MBR), parfois connu sous le nom de secteur de cloison, est trouvé seulement sur les disques durs, où c'est toujours le premier secteur physique. Il contient des informations essentielles sur le disque, donnant l'adresse commençante du partition(s) en lequel elle est divisée. Sur les disquettes, qui ne peuvent pas être divisées et ne contiennent pas un MBR, le premier secteur physique est le disque d'initialisation ou le DBR. Sur les commandes dures, le disque d'initialisation est le premier secteur sur une cloison. Le disque d'initialisation contient un programme dont le travail doit vérifier que le disque est amorçable et, si oui, pour remettre la commande au logiciel d'exploitation.

Par défaut, s'il y a un présent de disque souple amorçable, la plupart des PCS initialiseront du lecteur A, la première commande souple, plutôt que du lecteur C, la première commande dure. C'est réellement un défaut malheureux parce que c'est le point d'entrée normal pour un virus de secteur d'initialisation. Si les tentatives de PC d'initialiser d'un disque souple avec un secteur infecté d'initialisation (même si le disque souple ne contient pas les dossiers nécessaires pour charger un logiciel d'exploitation et ne peut pas donc compléter le processus d'initialisation), le disque souple infecté infecteront la commande dure. Caractéristiquement (bien que pas invariablement), une fois que la commande dure est infectée, le virus infectera tous les disques souples écrire-permis.

Note

Vous pourriez avoir entendu que des virus de secteur d'initialisation peuvent être désinfectés sans logiciel d'anti-virus, en utilisant FDISK avec le commutateur non documenté de a (en grande partie) (/MBR), connu dans quelques quarts comme FDISK/MUMBLE. Les bonnes nouvelles sont que ceci fonctionne beaucoup du temps. Les mauvaises nouvelles sont que, si vous les essayez avec le virus faux, vous pouvez réellement perdre l'accès à vos données. le logiciel d'Anti-virus est une technologie très imparfaite, mais il est presque invariablement meilleur et plus sûr pour enlever des virus que les utilités d'usage universel qui n'ont été jamais conçues dans ce but. FDISK n'est pas recommandé comme mesure d'anti-virus à moins que vous sachiez exactement ce que vous faites.

La majorité de virus de secteur d'initialisation contiennent également une certaine disposition pour stocker le code original de secteur d'initialisation ailleurs sur la commande. Il y a une bonne raison de ceci. Il n'est pas parce que le programmeur de virus prévoit pour renvoyer par la suite le MBR à son état original, bien que la retenue d'une copie du secteur original d'initialisation puisse faciliter désinfectant le virus. Plutôt, il est parce qu'il doit. Typiquement, un virus gardera une copie du disque original d'initialisation et l'offrira toutes les fois que d'autres processus la demandent. Ceci permet non seulement au système d'initialiser en premier lieu, mais également à des marques il pour détecter plus dur le virus sans logiciel d'anti-virus qui l'identifie spécifiquement. Cependant, quelques virus remplacent simplement le code normal de secteur d'initialisation avec le code de leurs propres.

Un certain BSIs (la forme est un exemple particulièrement bien connu et répandu) infectent seulement le disque d'initialisation, même sur les disques durs. Ceci crée des problèmes particuliers avec Windows NT et Windows 2000, et empêchera habituellement le système d'initialiser du tout. Ainsi un virus en grande partie innofensif est soudainement devenu un ennui important dans quelques environnements.

Bout

Les nouveaux virus de secteur d'initialisation sont comparativement rares. Néanmoins, même les vieux favoris comme la forme circulent toujours parmi les personnes qui échangent toujours des disques. Bien que le logiciel honorable et à jour d'anti-virus soit toujours a doit pour les détecter, une précaution simple élimine la majeure partie du risque d'infection sur la plupart des PCS, même de BSIs inconnu. La plupart des PCS, par défaut, essayeront d'initialiser du lecteur A s'il y a une disquette là. S'il n'y a pas, il essaye d'initialiser du lecteur C. Cependant, presque tous les PCS peuvent être modifiés dans le CMOS pour changer ce défaut. Sur la plupart des systèmes, ceci est fait en modifiant l'ordre d'initialisation, de sorte que le système essaye toujours d'initialiser du lecteur C d'abord (ou dans la commande de CD d'ordre, conduisez C, la commande A). D'autres systèmes (notamment quelques modèles de Compaq) permettent à l'arrangement d'une option de neutraliser initialiser de la commande souple tout à fait. Si l'utilisateur de système doit réellement initialiser du disque souple, ceci implique simplement de remettre à zéro l'option au défaut. Les fournisseurs de système de carte mère et de PC emploient des manières de propriété industrielle de placer des options de CMOS. Consultez la documentation qui est venue avec votre système. Notez que des virus de "dossier et d'initialisation" (multipartite) sont moins pour être contenus par cette précaution.