Quest-ce quun virus de secteur damorçage ?

Un virus de secteur d'amorçage est un type particulier de virus nommé d'après l'emplacement où il se trouve. Ce serait le secteur de démarrage des disquettes ou le Master Boot Record des disques durs plus modernes. Dans certains cas, ils peuvent infecter le secteur de démarrage desdits disques durs au lieu du MBR.

Le code qui constitue le virus s'exécute lorsque tout ce qui se trouve sur le disque ou le lecteur est démarré. En d'autres termes, si l'utilisateur essaie de se brancher et d'utiliser un disque dur infecté, il exécute le virus. Une fois chargés, presque tous ces virus se copient sur d'autres disques et lecteurs disponibles et compatibles, donc si un ordinateur avait quatre disquettes propres insérées et qu'une cinquième infectée était ajoutée et utilisée, les cinq seraient probablement infectées.

Que font les virus de secteur d'amorçage ?

En raison de la manière et de l'emplacement dans lesquels ils sont placés, les virus du secteur d'amorçage finissent par s'exécuter lorsque l'appareil sur lequel ils se trouvent est démarré ou branché et allumé. Ce sont des infections au niveau du BIOS, ce qui signifie qu'elles ne nécessitent aucune interaction particulière de l'utilisateur ( comme ouvrir un e-mail ou cliquer sur un lien de site Web douteux ) pour affecter un système.

L'inconvénient est qu'ils s'appuient sur les commandes DOS pour se propager. DOS n'a pas été utilisé depuis la sortie de Windows 95, date à laquelle l'utilisation des virus du secteur d'amorçage a rapidement diminué car ils ne fonctionnaient plus. Les virus du secteur de démarrage d'origine seraient totalement inoffensifs sur un ordinateur moderne qui n'utilise/ne comprend pas les commandes DOS - cependant, le type de virus persiste dans une nouvelle variante.

Virus de secteur d'amorçage modernes

L'équivalent moderne est souvent appelé un "bootkit", qui s'écrit dans le MBR ou Master Boot Record. De cette façon, ils obtiennent le même effet de lancement tôt dans le processus de démarrage. Cela leur permet de cacher à la fois leur présence et ce qu'ils font derrière d'autres processus - et, encore une fois, ne nécessite aucune interaction de l'utilisateur autre que le démarrage de la machine.

Les bootkits ne sont pas compatibles avec les supports amovibles - en d'autres termes, alors que les virus du secteur d'amorçage d'origine prospéraient sur les disquettes, les bootkits ne fonctionnent pas comme ça. Ils ne pourraient pas, par exemple, infecter une clé USB – bien qu'ils puissent être stockés et transférés sur une clé USB, ils ne s'activeraient pas. D'autres virus peuvent s'exécuter à partir de supports amovibles, tels que des clés USB, mais pas les bootkits.

À quoi ressemble un virus de secteur d'amorçage ?

Comme pour tout virus, son apparence dépend à la fois de qui l'a créé et de l'objectif qu'il est censé atteindre. Un secteur de démarrage doit toujours avoir 0x55 et 0xAA comme les deux derniers octets de données, respectivement. Sans eux, l'ordinateur refusera de démarrer entièrement ou affichera au moins un message d'erreur. Ce message d'erreur - ou un refus de démarrage - peut être l'un des nombreux indicateurs d'un virus de secteur de démarrage, bien qu'il ne donne aucun indice particulier sur ce que le virus pourrait faire.

Comment identifier un virus de secteur d'amorçage

Un virus de secteur d'amorçage peut être identifié de deux manières différentes. Premièrement, par ses actions. Un virus de secteur d'amorçage infecte la partie du support de stockage chargée par le BIOS lors du démarrage. Il infecte également activement tous les autres supports de stockage connectés à l'ordinateur infecté. Il convient de rappeler que les bootkits modernes fonctionnent légèrement différemment et n'infectent pas automatiquement les appareils. L'autre façon d'identifier un virus de secteur d'amorçage consiste à utiliser un logiciel antivirus.

Remarque : Les virus du secteur d'amorçage sont essentiellement obsolètes et reposent sur la technologie de l'ère DOS. Ces systèmes d'exploitation sont probablement peu utilisés, en particulier les systèmes hérités. Trouver un produit antivirus qui peut fonctionner sur un tel système d'exploitation serait difficile maintenant. De plus, bien qu'il soit probable que personne n'ait pris la peine de créer de nouveaux virus de secteur d'amorçage si de nouveaux virus ont été publiés, ils peuvent ne pas être correctement classés pour être détectés si vous trouvez un programme antivirus à exécuter.

Comment se débarrasser d'un virus de secteur d'amorçage

Un produit antivirus devrait pouvoir se débarrasser relativement rapidement d'un virus de secteur d'amorçage. Cela suppose toutefois que vous puissiez trouver un produit antivirus qui fonctionne sur un système aussi obsolète et qu'il puisse détecter le virus. Les bootkits plus modernes peuvent être extrêmement difficiles à détecter et à supprimer car ils infectent des zones de mémoire généralement restreintes. Les deux peuvent être vaincus en reformatant entièrement le lecteur. Ce processus, cependant, efface toutes les données sur le disque et n'est donc pas idéal.

Il est également théoriquement possible que le bootkit infecte la carte mère elle-même, en particulier le BIOS UEFI. Dans ce cas, le reflashage de la carte mère devrait résoudre le problème, mais ce ne sera peut-être pas le cas si le virus persiste ailleurs. Surtout si le virus pouvait réinfecter l'image sur laquelle la carte mère a été flashée. Le moyen 100% infaillible d'éliminer tout virus est de jeter le composant infecté. C'est votre disque dur, votre carte mère, etc., pas nécessairement l'ensemble de l'ordinateur.

Conclusion

Un virus de secteur d'amorçage est un type classique de l'ère DOS. Ils infectaient le secteur d'amorçage des supports de stockage et infectaient activement le secteur d'amorçage de tout autre support de stockage disponible. Le secteur de démarrage était la partie du périphérique de stockage chargée en premier par le BIOS. En tant que tel, le malware a été immédiatement lancé.

Comme ils s'appuyaient sur les commandes BIOS et DOS, ils se sont éteints lors de l'introduction de Windows. Une version moderne est connue sous le nom de bootkit. Il agit de la même manière, infectant le chargeur de démarrage qui appelle le système d'exploitation. Cela le rend très difficile à détecter ou à supprimer, car les mesures de sécurité modernes protègent le chargeur de démarrage d'un accès facile.