Virussen: Boot Sector infectors (balanspost)


  Share  
|

Deze PC-specifieke virussen infecteert de Master Boot Record en / of DOS Boot Record. Op een gegeven moment, deze virussen goed voor het merendeel van de gemelde incidenten, maar nu vormen zij een steeds kleiner deel van het totale aantal bedreigingen gevonden in het wild, en de nieuwe balansposten zijn iets van een zeldzaamheid. Dit kan weerspiegelen het feit dat mensen nu steeds meer e-mail en netwerken gebruiken in plaats van diskettes voor de uitwisseling van bestanden. Het feit dat deze zijn moeilijker te schrijven dan de macro-virussen en scripting virussen (of zelfs virussen bestand) is ook van belang.

Als een moderne PC opstart, gaat het door een proces genaamd Power On Self Test (POST). Deze fase van het boot-proces omvat het controleren van hardware componenten. Sommige van haar informatie komt uit informatie die is opgeslagen in de CMOS, in het bijzonder informatie over schijf en het geheugen type en de configuratie. Als de CMOS-instellingen niet de werkelijke drive geometrie overeenkomt, zal de machine niet in staat zijn om het systeem te gebieden en bestanden te vinden waar ze moeten zijn, en zal niet aan de boot proces te voltooien.

De Master Boot Record (MBR), ook wel bekend als de Partitie Sector, wordt alleen gevonden op de harde schijven, waar het altijd de eerste fysieke sector. Het bevat essentiële informatie over de schijf, waardoor het startadres van de partitie (s) waarin het wordt verdeeld. Op diskettes, die niet kunnen worden gepartitioneerd en bevatten geen een MBR, de eerste fysieke sector is de boot record of DBR. Op harde schijven, de boot record is de eerste sector op een partitie. De boot record bevat een programma wiens taak het is om te controleren of de schijf is bootable en, zo ja, bij de hand om de controle over het besturingssysteem.

Door gebrek, als er een bootable floppy aanwezig zijn, zullen de meeste pc's opstarten vanaf station A, de eerste floppy drive, en niet van station C, de eerste harde schijf. Dit is eigenlijk een ongelukkige standaard, want dit is de normale toegangspunt voor een boot sector virus. Als de pc probeert te booten vanaf een floppy met een besmet boot sector (zelfs als de diskette niet de benodigde bestanden bevatten om een besturingssysteem te laden en kan dus niet volledig de boot-proces), de besmette diskette zal besmetten de harde schijf . Kenmerkend (hoewel niet altijd), nadat de harde schijf is geïnfecteerd, zal het virus besmetten alle schrijf-enabled diskettes.

Opmerking

Je zou kunnen hebben gehoord dat de boot sector virussen kan worden ontsmet zonder anti-virus software, met behulp van FDISK met een (grotendeels) zonder papieren schakelaar (/ MBR), bekend in sommige kringen als FDISK / mompelen. Het goede nieuws is dat dit werkt veel van de tijd. Het slechte nieuws is dat, als je het proberen met de verkeerde virus, kan je eigenlijk geen toegang tot uw gegevens. Anti-virus software is een zeer onvolmaakte technologie, maar het is bijna altijd beter en veiliger voor het verwijderen van virussen dan voor algemeen gebruik hulpprogramma's die nooit werden ontworpen voor dat doel. FDISK wordt niet aanbevolen als een anti-virus te bepalen, tenzij u precies weet wat je doet.

De meerderheid van de boot sector virussen ook een aantal voorzieningen bevatten voor het opslaan van de originele bootsector code elders op het station. Er is een goede reden voor. Het is niet omdat het virus programmeur vriendelijk wil uiteindelijk de MBR terug te keren naar zijn oorspronkelijke staat, maar behoudt een kopie van de originele bootsector kunnen ontsmetten van het virus vergemakkelijkt. Veeleer is het omdat hij moet. Doorgaans zal een virus een kopie van de originele boot record te houden en bieden zij telkens andere processen vragen. Dit is niet alleen kan het systeem op te starten in de eerste plaats, maar maakt het ook moeilijker om het virus te detecteren zonder anti-virus software die specifiek herkent. Echter, sommige virussen gewoon de plaats van de normale boot sector-code met de code van hun eigen land.

Sommige balansposten ( "Vorm is een bijzonder goed bekend en wijdverspreid voorbeeld) alleen infecteren de boot record, zelfs op harde schijven. Dit leidt tot specifieke problemen met Windows NT en Windows 2000, en zal meestal voorkomen dat het systeem opstarten at all. Zo een grotendeels onschadelijk virus is opeens een grote overlast in sommige omgevingen.

Tip

Nieuwe boot sector virussen zijn relatief zeldzaam. Niettemin, zelfs oude favorieten als Vorm nog steeds circuleren onder mensen die nog wisselen schijven. Hoewel gerenommeerde en up-to-date anti-virus software is nog steeds een must voor het opsporen van hen, een simpele voorzorgsmaatregel elimineert het grootste deel van het risico van besmetting op de meeste pc's, zelfs van onbekende balansposten. De meeste pc's, standaard, zal proberen op te starten vanaf station A als er een diskette daar. Als er niet is, probeert het op te starten vanaf station C. Echter, bijna alle pc's kan worden omgevormd in CMOS te veranderen standaard. Op de meeste systemen wordt dit gedaan door aanpassing van de boot volgorde, zodat het systeem altijd probeert op te starten vanaf station C eerste (of in de volgorde CD-station, station C, drive A). Andere systemen (met name sommige Compaq-modellen) kan de instelling van een optie uit te schakelen booten vanaf de floppy drive helemaal. Als het systeem moet de gebruiker daadwerkelijk op te starten vanaf diskette, dit gaat gewoon opnieuw de mogelijkheid om standaard. Moederbord en pc-systemen leveranciers gebruik eigen manieren van de vaststelling CMOS-opties. Raadpleeg de documentatie die bij uw systeem. Merk op dat "bestand en boot" (multipartiet) virussen zijn minder waarschijnlijk worden opgenomen door deze voorzorgsmaatregel.

een artikel afkomstig van Marcel Baldwin

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions