Virus de boot

Virus de boot (BootKit) : Virus s'incrustant dans le secteur de démarrage des supports pouvant servir au démarrage d'un appareil (disque, clé USB, CD, DVD, etc.)

cr  01.04.2012      r+  21.08.2020      r-  20.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les « Virus de Boot » s'implantent dans une zone spécifique de la partition de démarrage d'un ordinateur : les deux premiers secteurs adressables (cylindre 0, tête 0, secteur 0 et 1) des disques durs « amorçables » (sur lesquels l'ordinateur peur démarrer - « bootables »), des disquettes « amorçables » (même si ces disquettes ne contiennent aucun programme exécutable mais uniquement des données) et tout autre support « amorçable » (CD, DVD, Clé USB, etc.).

Cette zone est appelée MBR - Master Boot Record (ou « Zone d'amorce », « Zone d'amorçage »). D'une taille de 512 octets, cette zone comporte la table d'allocation des partitions primaires (les pointeurs vers les 4 premières partitions - partitions de type « primaire ») et un petit programme, appelé le « BootStrap » (le « Lanceur », le « Coup de pied au fondement » ou, plus prosaïquement, le « Coup de pied au cul »), lancé par le BIOS après le POST (Power On Self Test - les tests matériel que fait le BIOS à la mise sous tension de l'ordinateur ou lors de son redémarrage), dont la travail est de lancer un second programme, le « BootLoader » (« Chargeur d'amorçage ») qui se trouve sur la partition active. Ce second programme prend alors en charge le chargement et le lancement d'un troisième programme, le Système d'Exploitation (Windows, Linux, etc.).

Tout ceci se passe :

• Bien avant qu'un quelconque antivirus ou antispyware ou pare-feu applicatif ne soit appelé.

• Bien avant que Windows ou Linux ne se charge.
  

Les virus de boot se servent de cette forme d'infection aussi bien pour leur réplication que pour leur propagation.

• Form, Disk Killer, Michelangelo et Stoned sont des exemples de virus infectant le secteur d'amorçage (BootLoader (chargeur d'amorçage)) qui se trouve sur la partition active.
  

• NYB, AntiExe et Unashamed sont des exemples de virus infectant le secteur d'amorçage principal (MBR - Master Boot Record) lorsqu'il y a plusieurs partitions sur un volume.
  

• One_Half, Emperor, Anthrax ou Tequilla, sont des virus infectant les exécutables et les secteurs de boot. On les appelle parfois « virus multimode » - si le secteur de boot est nettoyé mais pas les fichiers exécutables, le secteur de boot sera ré-infecté. Si les fichiers sont désinfectés mais pas le secteur de boot, les fichiers seront à nouveau contaminés).
  

Si le « BootStrap » est modifié par un virus, il assurera le chargement et le lancement d'un virus avant quoi que ce soit. De là, le virus, sûr d'être toujours lancé, infestera d'autres fichiers (réplication) et, surtout, d'autres supports de manière à assurer son transport vers d'autres machine (propagation).

C'est LE type de virus pour infester des disquettes, disques amovibles amorçables (bootables) et autres supports à partir desquels un ordinateur peut démarrer (CD-Rom, DVD, Clé USB, etc. ...) ! C'est donc un peu archaïque mais extrêmement ennuyeux car la correction de ce genre d'attaques est très délicate et conduit souvent au reformatage pur et simple du disque infecté.

Les « Virus de Boot » infestent donc le « BootStrap » pour être exécutés à chaque démarrage d'un ordinateur avant tout autre programme. Ils s'installent en lieu et place du « BootStrap » qu'ils déplacent un peu plus loin sur le disque dur et en lancent l'exécution eux-mêmes, sous leur contrôle.

Note :
La taille du MBR étant très réduite, ce n'est pas le virus complet qui s'y trouve mais un lanceur du virus qui, lui, occupe une autre partie du disque (par exemple dans un fichier ADS, parfois, dans une partie normalement totalement inaccessible des disques durs : les GAP, ou dans une partition fantôme, etc.)

Vous avez, dans les BIOS de vos machines, un paramètre appelé « Antivirus ». Ce n'est pas réellement un antivirus mais une surveillance de toute tentative de modification du MBR - Master Boot Record. Cet « Antivirus » devrait toujours être activé afin de verrouiller la zone MBR - Master Boot Record. C'est une interdiction d'écrire dans ces zones que vous devez positionner sur « On » ou « Actif » dès après l'installation du système d'exploitation. Aucun autre programme ne devra, par la suite, vous demander l'autorisation de modifier le « BootStrap » (sauf l'installation de votre antivirus à qui vous donnerez le droit de le faire puisque certains antivirus tente de se lancer avant le système d'exploitation afin d'avoir un contrôle total des flux et exercer leurs analyses dès l'appel du BootLoader).

Windows : utiliser debug

UNIX / Linux : utiliser dd et sauvegarder / restaurer le premier secteur uniquement (les 512 premiers octets du disque).
Attention : ne jamais tenter de restaurer un MBR - Master Boot Record d'un disque avec la sauvegarde du MBR - Master Boot Record d'un autre disque. Les pointeurs des partitions (la table des partitions) seraient perdus et donc l'intégralité des contenus de toutes les partitions serait perdue (le seul cas envisageable est lorsqu'un parc de machines est strictement homogène dont, en particulier, les disques sont de même marque, même modèle et sont tous partitionnés exactement de la même manière avec le même outil).

Windows XP : utiliser la commande fixmbr depuis la console de récupération.

Windows Vista et suivants : utiliser la commande bootrec /FixMbr depuis la console de récupération.

Attention : ces réparations sous Windows, sur des machines multiboot, sont égoïstes et, si le MBR - Master Boot Record initial pointait vers un amorçage de Linux (GRUB, LILO), celui-ci est remplacé par le démarrage de Windows. Il faut alors utiliser un CD-ROM Linux et faire une installation ou restauration pour récupérer le multiboot.

Liste partiellement élaborée partir de la liste de rkhunter en 2012 :

• Aduska bootkit (Whistler based)
  

• Alcon
  

• AntiCMOS
  

• Bioskit/Wador
  

• Brain (Janvier 1986 - Le virus "Brain")
  

• Caphaw/Geth bootkit (MBR infection)
  

• Carberp (BkLoader based)
  

• Cidox/Mayachok/Rovnix (VBR/IPL infection way, BkLoader based)
  

• Crazy Boot
  

• Fips Chinese bootkit
  

• Form
  

• Gapz (VBR infection)
  

• Ghostball
  

• Gootkit (BkLoader based)
  

• Guntior/Wapomi bootkit (Chinese combine)
  

• Halcbot bootkit (alias Lapka, Fengd, Pabueri)
  

• Hare
  

• KillMBR/HDDKill (MBR damage)
  

• MaxSS, TDL4 fork (MBR + VBR infection, new hidden partition)
  

• MBRLock/Bootlock (MBR-based ransomware)
  

• Mebratix/Nedoboot (MBR infection)
  

• Michelangelo
  

• Natas
  

• OneHalf
  

• PbBot bootkit (alias Plite, GBPBoot)
  

• Ping-Pong virus
  

• Pitou (MBR infection, alias Backboot)
  

• PiXiEServ (Not Malware)
  

• Popureb/Alipop (MBR infection)
  

• Simda (BkLoader based)
  

• Sinowal/Mebroot (MBR infection)
  

• Smitnyl (MBR infection)
  

• Stoned
  

• TDL4 (MBR infection)
  

• Whistler (MBR infection)
  

• Xpaj (with MBR infection)
  

• Yurn (MBR infection)