Os vírus de boot foram os primeiros tipos de vírus a surgir, alojando-se no setor de inicialização de disquetes. Ao iniciar o sistema a partir de um disquete infectado, o vírus carregava na memória e executava, infectando outros dispositivos acessados.
Os vírus de boot foram os primeiros tipos de vírus a surgir, alojando-se no setor de inicialização de disquetes. Ao iniciar o sistema a partir de um disquete infectado, o vírus carregava na memória e executava, infectando outros dispositivos acessados.
Os vírus de boot foram os primeiros tipos de vírus a surgir, alojando-se no setor de inicialização de disquetes. Ao iniciar o sistema a partir de um disquete infectado, o vírus carregava na memória e executava, infectando outros dispositivos acessados.
Os vírus de boot foram os primeiros tipos de vírus a surgir, alojando-se no setor de inicialização de disquetes. Ao iniciar o sistema a partir de um disquete infectado, o vírus carregava na memória e executava, infectando outros dispositivos acessados.
Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
Fazer download em docx, pdf ou txt
Você está na página 1/ 6
Vírus de Boot foi um dos primeiros tipos de vírus a surgir no mundo.
Os vírus de boot surgiram nos disquetes de 360KB de formato 5"1/4, em 1978, onde eles se alojavam no setor de boot dos disquetes.
Comportamento[editar | editar código-fonte]
A máquina era infectada quando o usuário inicializava o sistema pelo disquete, onde o vírus era carregado na memória e era executado.[1] O processo funciona de maneira simples. O disquete é inserido na máquina e ao ligar o PC a BIOS o identifica, então carrega seu primeiro setor no endereço de memória 0000:7C00 e executa. O vírus então altera o setor de boot de todos os discos inseridos na máquina, assim se iniciando antes mesmo do sistema operacional ser carregado.[2] Um vírus de boot tem um tamanho máximo de 512 Bytes, que seria o tamanho de um setor de um disco.
O que é um vírus do setor de
inicialização? Os vírus do setor de inicialização infectam o setor de inicialização de disquetes ou o Registro Mestre de Inicialização (MBR, Master Boot Record) dos discos rígidos (alguns infectam o setor de inicialização do disco rígido, em vez do MBR). O código infectado é executado assim que o sistema é inicializado a partir de um disco infectado, mas, uma vez carregado, ele infecta outros disquetes acessados no computador comprometido. Embora os vírus do setor de inicialização provoquem uma infecção no BIOS, eles usam comandos do DOS para se propagar para outros disquetes. Por esse motivo, começaram a sair de cena depois que surgiu o Windows 95 (que usava menos instruções do DOS). Hoje, existem programas conhecidos como "bootkits", que gravam seus códigos no MBR para serem carregados logo no começo do processo de inicialização, disfarçando as ações do malware executado no Windows. No entanto, eles não são projetados para infectar mídias removíveis.
Os únicos critérios absolutos de um setor de inicialização é conter 0x55 e 0xAA
como seus dois últimos bytes. Se essa assinatura não estiver presente ou estiver corrompida, o computador poderá exibir uma mensagem de erro e se recusar a inicializar. Os problemas com o setor se devem à corrupção do disco físico ou à presença de um vírus do setor de inicialização.
Como os vírus do setor de inicialização se
propagam e como se livrar deles É mais comum um vírus de computador do setor de inicialização se propagar com o uso de uma mídia física. Um disquete ou unidade USB infectada conectada a um computador transfere dados quando o VBR da unidade é lido, depois modifica ou substitui o código de inicialização existente. Quando o usuário tenta inicializar seu desktop outra vez, o vírus é carregado e executado imediatamente como parte do registro de inicialização mestre. Anexos de e-mail também podem conter códigos de vírus de inicialização. Se abertos, esses anexos infectam o computador host e podem conter instruções para enviar mais lotes de e-mails para a lista de contatos do usuário. As melhorias na arquitetura do BIOS reduziram a propagação de vírus de inicialização, incluindo a opção de prevenir qualquer modificação no primeiro setor do disco rígido de um computador.
A remoção de um vírus do setor de inicialização pode ser difícil, pois ele pode criptografar esse setor. Em muitos casos, os usuários podem nem saber que foram infectados por um vírus até executarem um programa de proteção antivírus ou de verificação de malware. Como resultado, é importante que os usuários continuem atualizando seus programas de proteção contra vírus que têm grandes registros de vírus de inicialização e os dados necessários para removê-los com segurança. Se o vírus não for removido devido a criptografia ou excesso de danos ao código existente, o disco rígido precisará ser formatado para eliminar a infecção.
Como remover vírus de boot
vírus de boot são os vírus de computador que são automaticamente
ativados quando você iniciar o computador. Estes vírus são especialmente perigosos porque podem alterar arquivos , chaves de registro e até mesmo desativar seu programa anti- vírus antes que ele tenha a chance de proteger o seu computador . Para remover esses vírus resistentes , você terá que iniciar o computador no Modo de Segurança . Modo de Segurança é uma ferramenta de diagnóstico que permite que o computador para arrancar apenas com programas essenciais funcionando, desativando temporariamente o vírus de boot. Coisas que você precisa programa anti- vírus Show Mais instruções 1
Baixe e instale um programa anti- vírus. All- Internet -Security tem uma lista abrangente de programas anti-vírus veneráveis que ajudarão a remover vírus de computador ( veja Recursos ) . 2
Inicie o computador no Modo de Segurança. Na tela de inicialização , clique
no botão " F8" no seu teclado. Um menu se abrirá. Selecione "Modo Seguro" e clique em " Enter" no seu teclado. 3
Abra o seu programa anti- vírus. Selecione "Deep Scan System " ou "Computer Scan". Clique em " Iniciar". O programa anti- vírus vão começar a vasculhar arquivos de computador , chaves de registro e diretórios de memória em busca de vírus , incluindo o vírus de boot. Permitir que o programa para completar a verificação de vírus. O processo pode demorar alguns minutos ou algumas horas em um grande disco rígido do computador. 4 Remova os vírus. O programa irá compilar uma lista de arquivos infecciosas. Realce o nome do vírus e selecione "Remover " ou " Quarantine ". O programa irá remover quaisquer vírus de computador atualmente infectando seu computador. 5
Reinicie o computador e inicializar normalmente. Executar uma segunda
verificação de vírus para assegurar que todas as infecções são removidos . O computador , então, ser livre de vírus de computador .
VIRUS DE BOOT
Após a infecção, quando o sistema é iniciado, o código contido no setor de
inicialização será executado, passando o vírus para a memória. Se necessário, o vírus fará com que o sistema continue o processo inicial com o conteúdo do setor original. Muitos vírus usam esse método, pois assumem o controle do computador desde que ele é ligado.
É importante notar que qualquer disco pode estar infectado, não é necessário que o disco seja o sistema. Muitas vezes deixamos um disquete no disquete e ao reiniciar, aparece a mensagem indicando que o disco não é inicializável, apesar disso, o disco pode ter sido infectado e até ter passado seu código nocivo para o disco de boot duro
É importante que o antivírus detecte esse tipo de vírus e possa avisar sobre esses disquetes (ou discos rígidos) que têm seu setor de inicialização infectado. Esse teste pode ser descrito como o mais difícil de ser aprovado e usamos 60 vírus de inicialização exclusivos, cada um em um disco diferente. Realizar este teste envolve colocar um disquete, analisar o boot com o antivírus, anotar o resultado e repetir o mesmo processo com cada um dos 60 disquetes em cada um dos 10 programas. Você não precisa ser muito bom em matemática para perceber que passar este teste é equivalente a colocar 600 vezes um disquete.
Em muitos testes e até mesmo em certificações, a verificação de inicialização é
executada com arquivos que são despejos da inicialização, mas não fisicamente. Isso traz algumas complicações, porque, por exemplo, nem o Norman, nem o Norton, nem o ThunderByte reconhecem esses arquivos como vírus (e eles não precisam fazê-lo porque não faz sentido). Então, para avaliar corretamente todo o antivírus, você tem que fazer disco por disco.
Conceito de Vírus de Boot
Vírus de Boot foram os primeiros tipos a surgirem no mundo, eles se alojam no primeiro setor do disquete, e ocupavam certa de 1k ou menos. Surgiram nos disquetes flexíveis de 5 1/4. Na memória são alojados no endereço 0000:7C00h do Bios, e quando o boot ocorre, o vírus se transfere para este endereço e depois se auto-executa. Os vírus de boot surgiram nos antigos disco flexíveis de 360k, em 1988.
Forma de Contaminação A contaminação se dá, quando o usuário inicia o computador pelo disquete contaminado, desta forma ele infecta o PC, deste momento em diante, todo disquete que for colocado no PC é contaminado, e vai infectar outro PC saudável que ele for inserido em seguida.
Vírus são programas como outros quaisquer, com a diferença de que foram escritos com o único objetivo de atormentar a vida do usuário.
Para "pegar" um vírus, você deve obrigatoriamente ou executar um programa
infectado ou acessar um disquete que tenha um vírus escondido. Não há outra forma de contaminação. Por isto, é impossível pegar vírus através de e-mail, por exemplo. Mesmo que você tenha um programa infectado, caso você não o execute, o vírus não irá contaminar o seu micro.
Na verdade, o micro não "pega" vírus nem "fica" com vírus. Os vírus ficam alojados secretamente dentro de programas ou da área de boot de disquetes ou do disco rígido. Por este motivo, é impossível que você compre alguma peça de computador "com vírus"; eles necessitam estar armazenados em algum lugar, normalmente disquetes e discos rígidos. Como são programas, com o micro desligado os vírus não podem fazer nada, mesmo que o micro esteja infectado. Como funcionam
Ao executar um programa infectado ou acessar um disquete contaminado, o
vírus passa para a memória (RAM) do micro. Estando residente em memória, ele passará a interceptar todas as rotinas de acesso a arquivo e disco do sistema operacional; sempre que um novo arquivo for acessado, o vírus adicionará uma cópia de si próprio neste arquivo (caso o vírus seja um "vírus de arquivo"). Outro tipo de vírus, conhecido como "vírus de boot" não se esconde em arquivos, mas no setor de boot de disquetes e de discos rígidos. Esse tipo de vírus grava uma cópia de si próprio em todos os disquetes que forem inseridos no drive. Essa é a "fase de contaminação", onde o vírus tenta se espalhar o máximo possível.
Repare que o vírus estará ativo a partir do momento em que está carregado em memória (RAM). No caso de vírus de arquivo, eles tratam de infectar logo o arquivo COMMAND.COM, que é um dos primeiros arquivos a serem carregados pelo sistema operacional. Como o COMMAND.COM é sempre carregado, o vírus sempre estará em memória. No caso de vírus de boot, o vírus é carregado antes do sistema operacional, pois há uma modificação na rotina de boot do disquete ou do disco rígido.
Por este motivo, não adianta nada executar um programa antivírus a partir de um micro infectado. Caso você "rode" o antivírus, o mais provável de ocorrer é o próprio vírus contaminá-lo, pois ele estará carregado em memória. Ou então, irá acontecer de você retirar o vírus e ele novamente contaminar arquivos ou o setor de boot, uma vez que ele ainda estará presente na memória (RAM).
Desta forma, para executar um programa antivírus, você deverá preparar um
disquete de boot (com o comando FORMAT A:/S) e copiar o antivírus para este disquete. É claro que este procedimento deverá ser executado em um micro "limpo", sem vírus. Depois, basta dar um boot com o disquete antivírus que você preparou, ou seja inserir o disquete no drive e ligar o micro. Não se esqueça de alterar a seqüência de boot no setup. Para isto, pressione a tecla [DEL] durante a contagem de memória; altere a opção "boot sequence" de "C,A" para "A,C", no menu "advanced setup". Saia do setup gravando as alterações feitas.
Outro caso muito comum é o do usuário leigo que fica reclamando "este vírus é danado mesmo; já reformatei o disco rígido mais de 5 vezes e ele continua lá!" Primeiro que a formatação do disco rígido só é recomendada em último caso - quando o antivírus realmente não consegue retirar o vírus do disco rígido. Em segundo lugar, se você precisar reformatar o disco rígido, deverá fazê-lo dando um boot com um disquete "limpo", preparado em um micro não-infectado. Caso você tente formatar o disco rígido dando boot por ele mesmo, o vírus irá ser carregado em memória (RAM) e, logo após você ter acabado de formatar o disco, o vírus irá imediatamente se copiar para lá...
Os vírus ficam nesta fase de contaminação até entrarem em atividade. Há
várias maneiras do vírus entrar em atividade, a mais divulgada pela mídia é através de uma data específica. O vírus Michelangelo, por exemplo, entra em atividade no dia 6 de março, quando, então, destrói dados do disco rígido.
Quando o vírus entra em atividade várias coisas podem ocorrer. Em geral o
micro "fica maluco", com um comportamento totalmente anormal - o micro fica apresentando muitas mensagens de erro e "travando" constantemente. Alguns tipos de vírus destróem dados e outros simplesmente apresentam mensagens pacíficas.
