Infección de los sectores de arranque


  Share  
|

Para entender el propósito de un sector de arranque y las razones por las que un virus puede ser que desee para infectarlo, vamos a examinar los pasos clave involucrados en la carga de un sistema operativo desde el disco duro. ¿Cómo sabe el ordenador que los programas para poner en marcha durante el arranque? Después de todo, los archivos que necesitan ser ejecutados para iniciar Windows XP se diferencian de los archivos que el lanzamiento de Linux o los que inicializar Solaris o Windows 98. Por otra parte, en función de la disposición del disco, estos programas pueden ser almacenados en lugares diferentes en el disco. Para dar cabida a varios sistemas operativos y configuraciones de disco, las PC se basan en las áreas de disco dedicado llamado para guiar a los sectores de arranque de la máquina a través de la secuencia de arranque.

Al encender un PC, en primer lugar, realiza un conjunto de instrucciones que inicializar el hardware y permiten que el sistema de arranque. El código que implementa estas acciones es parte del programa BIOS que está incrustado en fichas de la máquina por el fabricante. El BIOS es en sí mismo creado para ser lo más genérico posible, y no sabe cómo cargar un sistema operativo en particular. De esta forma, una máquina con un solo BIOS se puede utilizar para varios sistemas operativos diferentes. Debido a que la BIOS no sabe cómo cargar el sistema operativo, se localiza el primer sector en el primer disco duro, y ejecuta un pequeño programa almacenado allí denomina registro de inicio maestro (MBR). A veces la gente se refiere al sector de la física en el disco que almacena los datos MBR como el sector de arranque maestro.

El MBR no sabe cómo cargar el sistema operativo sea. Esto se debe a que el PC puede tener varias particiones y sistemas operativos instalados, cada uno con sus propias necesidades iniciales. El código que forma parte del MBR sabe cómo enumerar las particiones disponibles, y cómo transferir el control al sector de arranque de la partición deseada. El sector de arranque colocados en el comienzo de cada partición se llama con el sector de arranque de partición (PBS). También se usan, para referirse a la PBS son el sector de arranque de volumen y el registro de volumen de inicio. El programa integrado en el sistema de cartilla localiza los archivos del sistema operativo de arranque y pasa el control del proceso de arranque a los mismos.

Los virus que se aprovechan de la naturaleza ejecutable del MBR y el contenido de PBS y se adhieren a uno de los sectores de arranque son llamados virus de sector de arranque. Un PC infectado con un virus de sector de arranque se ejecutará el código del virus cuando se inicia el equipo arriba.

El virus de Miguel Ángel, descubierto en 1991, es un virus de sector de arranque típica que es bien conocido sobre todo por el frenesí mediático que rodeó a su fecha de activación en 1992. carga útil de Miguel Ángel fue muy destructiva que fue programado para sobrescribir los sectores de la unidad de disco duro si el ordenador infectado arrancado en el cumpleaños del artista gran renacimiento (6 de marzo). Me pregunto lo que Miguel Ángel se iba a pensar acerca de este "tributo", implementado en el software hostil. Aunque la mayoría de medios de prensa en el tiempo previsto que millones de ordenadores personales se verían afectados, en algún lugar alrededor de 10.000 y 20.000 computadoras fueron golpeados en realidad cuando llegó el gran día. Esta no fue la catástrofe que el público estaba esperando, pero muy pocas personas en esa fecha tenía un día muy malo.

Cuando Miguel Ángel infectada, una unidad de disco duro, se trasladó el contenido del MBR original a otra ubicación en el disco y se puso en el MBR. La próxima vez que el PC en marcha, la BIOS debería ejecutar código de Miguel Ángel, que la carga del virus en la memoria. Miguel Ángel, a continuación, pasaría el control a la copia del MBR original para continuar con el proceso de arranque, a menos que fuera 06 de marzo, por supuesto. Ese día, Miguel Ángel sería completamente la manguera de la unidad de disco duro.

Además de infectar los discos duros, Miguel Ángel también podría colocar a los sectores de arranque de los disquetes. Sin esta capacidad, puro virus del sector de arranque que tienen dificultades para la difusión de una máquina a otra, porque no puede infectar archivos ejecutables, y la gente rara vez cambio de unidades de disco duro. Un disquete sólo tiene una sola partición, y no posee un MBR. En cambio, cuando el BIOS del equipo se inicia desde un disquete, se sitúa el sector del disquete de arranque, que a su vez, carga el sistema operativo.

Una vez que Miguel Ángel se ejecuta en un PC, automáticamente se conceden al sector de arranque de cada disquete insertado en la computadora. El virus fue capaz de lograr esto, debido a su capacidad de carga en la memoria correspondientes a las de bajo nivel de BIOS y controladores permanecen activos después de que el sistema operativo puesto en marcha. Las muestras que puede permanecer en la memoria RAM del ordenador infectado se denominan virus residente en memoria. Esta propiedad puede ser atribuido a un virus, independientemente de si su objetivo primario es un sector de arranque o un archivo ejecutable. Los virus que no son residentes en la memoria a veces se llaman los virus de acción directa, que son criaturas del momento que actuar cuando su anfitrión se ejecuta y no rezagarse.

La buena noticia es que la eficacia de los virus de sector de arranque residentes en memoria se ve seriamente disminuida en Windows NT y las versiones posteriores de Microsoft Windows (2000, XP, y 2003 hasta ahora). Estos sistemas operativos ya no se basan en la BIOS para el acceso de bajo nivel a discos locales. Como resultado, incluso si el sector de arranque de la PC está infectado y el virus se carga en la memoria, el código del virus se tendrá en cuenta una vez que Windows se inicia. El virus se carga, pero no consigue una oportunidad de garabatear en disquetes o discos duros nuevos, mientras que el sistema operativo está en control. Esto significa que el virus no será capaz de conectar a los nuevos objetivos mientras se ejecuta Windows. Por otro lado, el virus todavía puede activar su carga antes de cargar Windows, que puede causar daños, mientras que el PC ejecuta instrucciones maliciosas en el sector de arranque.

Debemos notar, sin embargo, que los ordenadores que utilizan Windows NTFS en la partición del sistema se puede bloquear si su SBP se infecta. Esto se debe a que, en los discos duros con formato NTFS, Windows coloca instrucciones especiales en los sectores inmediatamente después de la PBS, que ayudan con la carga del sistema operativo. Un virus podría sobrescribir estas instrucciones mientras se coloca a la PBS, la prevención de Windows de saber cómo comenzar adecuadamente, y haciendo que el equipo se bloquee.

Hemos visto las principales técnicas que emplean los virus para infectar archivos ejecutables y sectores de arranque, pero esos no son el único mecanismo que emplean a estos patógenos. Más allá de los ejecutables y sectores de arranque, otros objetivos popular de los virus informáticos son los archivos de documentos que tienen la capacidad para llevar a código ejecutable.

presentado por Levi D. Johnson

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions