Viren: Bootsektor Infektoren (Bilanzpositionen)


  Share  
|

Diese PC-spezifische Viren infizieren den Master Boot Record und / oder DOS-Boot-Record. Zu einer Zeit, entfielen auf diese Viren für die Mehrheit der gemeldeten Vorfälle, aber jetzt bilden sie einen schwindenden Anteil der gesamten Anzahl von Bedrohungen in der Wildnis gefunden und neuen Bilanzpositionen sind eher eine Seltenheit. Dies könnte die Tatsache widerspiegeln, dass die Menschen nun zunehmend auf E-Mail und Netzwerke anstatt Disketten zum Austausch von Dateien. Die Tatsache, dass diese schwieriger zu schreiben als Makro-Viren und Scripting-Viren (oder auch Datei-Viren) sind ebenfalls wichtige Faktoren.

Bei einem modernen PC hochfährt, es durch einen Prozess namens Power On Self Test (POST) geht. Diese Phase des Boot-Prozess umfasst die Überprüfung Hardware-Komponenten. Einige ihrer Informationen stammen aus Informationen im CMOS gespeicherten, insbesondere Informationen über die Festplatte und Arbeitsspeicher Typ und Konfiguration. Wenn die CMOS-Einstellungen nicht mit den eigentlichen Antrieb Geometrie, wird die Maschine nicht in der Lage sein Systembereiche und Dateien wo sie sein sollten zu finden, und wird nicht den Boot-Vorgang abzuschließen.

Der Master Boot Record (MBR), manchmal als Partitionssektor bekannt ist, ist nur auf Festplatten, wo es ist immer der erste physikalische Sektor gefunden. Es enthält wesentliche Informationen über die Festplatte, so dass die Startadresse der Partition (en), in die sie eingeteilt. Auf Disketten, die nicht partitioniert werden können und enthalten keine MBR ist der erste physikalische Sektor der Boot-Record oder DBR. Auf Festplatten, ist der Boot-Record der erste Sektor auf einer Partition. Das Boot Record enthält ein Programm, dessen Aufgabe es ist, ob die Festplatte bootfähig ist und wenn ja, um die Kontrolle über das Betriebssystem Hand.

Standardmäßig, wenn es eine bootfähige Diskette vorhanden, die meisten PCs bootet von Laufwerk A, das erste Diskettenlaufwerk, anstatt von Laufwerk C:, die erste Festplatte. Dies ist eigentlich eine unglückliche Standard, denn dies ist die normale Einstiegspunkt für ein Boot-Sektor-Virus. Wenn der PC zu booten versucht eine Diskette mit einem infizierten Bootsektor (auch wenn die Diskette enthält nicht die notwendigen Dateien, um ein Betriebssystem geladen und kann daher nicht vollständig den Boot-Prozess), die infizierte Diskette infizieren die Festplatte . Bezeichnenderweise (wenn auch nicht immer), wenn die Festplatte infiziert ist, wird der Virus infizieren alle mit aktiviertem Schreibzugriff Disketten.

Hinweis

Möglicherweise gehört, dass Bootsektor-Viren ohne Anti-Viren-Software kann desinfiziert werden müssen, mit FDISK mit einem (weitgehend) undokumentierten Schalter (/ MBR), in einigen Kreisen als FDISK / Mumble bekannt. Die gute Nachricht ist, dass dies ein großer Teil der Zeit arbeitet. Die schlechte Nachricht ist, dass, wenn man es mit dem falschen Virus versuchen, können Sie tatsächlich keinen Zugriff auf Ihre Daten. Anti-Viren-Software ist eine sehr unvollkommene Technik, aber es ist fast immer besser und sicherer zum Entfernen von Viren als Allzweck-Dienstprogramme, die nie für diesen Zweck konzipiert wurden. FDISK ist nicht als Anti-Virus-Maßnahme empfohlen, wenn Sie wissen genau, was du tust.

Die Mehrheit der Bootsektor-Viren enthalten auch einige Bestimmungen zur Speicherung der ursprünglichen Boot-Sektor-Code an anderer Stelle auf der Festplatte. Es gibt einen guten Grund dafür. Es ist nicht, weil das Virus-Programmierer freundlicherweise will schließlich wieder den MBR in den ursprünglichen Zustand, obwohl Beibehaltung einer Kopie der Original-Bootsektor kann die Desinfektion des Virus leichter. Vielmehr ist es, weil er hat. Typischerweise wird ein Virus eine Kopie des ursprünglichen Boot-Record und bieten sie, wenn es andere Prozesse Anfrage. Dies ermöglicht nicht nur das System zu booten an erster Stelle, sondern macht es auch schwieriger, das Virus ohne Antivirus-Software, die speziell erkennt sie erkennen. Doch einige Viren ersetzen Sie einfach die normale Boot-Sektor mit dem Code der eigenen.

Einige Bilanzpositionen (Formular ist ein besonders bekanntes und weit verbreitete Beispiel) nur infizieren den Boot-Record, auch auf Festplatten. Das schafft besondere Probleme mit Windows NT und Windows 2000 und wird in der Regel verhindern das System zu booten überhaupt. So ein weitgehend harmlosen Virus ist plötzlich eine große Ärgernis in einigen Umgebungen.

Tipp

New-Bootsektor-Viren sind vergleichsweise selten. Aber auch alte Bekannte wie Form noch zirkulieren unter Menschen, die noch umtauschen Festplatten. Obwohl seriöse und up-to-date Antiviren-Software ist immer noch ein Muss für deren Entdeckung, beseitigt eine einfache Vorsichtsmaßnahme meisten das Risiko von Infektionen auf den meisten PCs, auch von unbekannten Bilanzpositionen. Die meisten PCs standardmäßig wird das Booten von Laufwerk A, wenn es eine Diskette dort versuchen. Wenn es nicht, versucht es zu booten von Laufwerk C. Allerdings sind fast alle PCs können in CMOS rekonfiguriert werden, um diese Standardeinstellung ändern. Auf den meisten Systemen ist dies durch Ändern der Boot-Reihenfolge, so dass das System immer versucht zu booten von Laufwerk C: erste (oder in der Reihenfolge CD-Laufwerk, Laufwerk C: Laufwerk A) durchgeführt. Andere Systeme (vor allem einige Compaq-Modelle) ermöglichen die Einstellung einer Option zum Deaktivieren des Bootvorgangs von der Floppy-Laufwerk ganz. Wenn das System tatsächlich Benutzer muss von Diskette booten, das nur bedeutet, das Zurücksetzen der Option auf Standard. Motherboard-und PC-Systemhäuser verwenden proprietäre Wege Einstellung CMOS-Optionen. Lesen Sie die Dokumentation, die mit Ihrem System geliefert wurde. Beachten Sie, dass "Datei-und Boot" (Mehrparteien-Viren) sind wahrscheinlich weniger von dieser Vorsichtsmaßnahme enthalten sein.

Verfasst von Marcel Baldwin

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions