Podemos classificar os vírus de acordo com o método utilizado para se carregarem em memória. Há basicamente dois métodos: alterando o setor de boot do disco ou adicionando seu código a arquivos executáveis.
Os vírus de boot alteram o setor de boot de todos os discos que encontrarem a partir do momento em que estiverem carregados em memória (RAM). Isto faz com que o vírus seja carregado automaticamente para a memória antes mesmo do sistema operacional toda a vez em que for dado um boot com um disco contaminado.
A seqüência de boot de um disco com MS-DOS é a seguinte: BIOS, Setor de boot, Sistema operacional (MSDOS.SYS e IO.SYS), COMMAND.COM, Config.sys, Autoexec.bat.
Após a execução do POST (Power On Self Test, aquele autoteste que há sempre em que ligamos o micro), o BIOS do computador carrega em memória (RAM) o setor de boot do disco de boot, que pode ser o disco rígido ou um disquete, dependendo do que o usuário optar. No setor de boot há um pequeno programa, chamado bootstrap, responsável por carregar o sistema operacional em memória.
O vírus, quando contamina um disco, altera o código do bootstrap, de modo que ele passe a carregar o vírus antes do sistema operacional. Portanto, em um disco infectado por um vírus de boot, a seqüência de boot seria alterada da seguinte forma:
BIOS, Setor de boot (infectado, bootstrap alterado), Vírus de boot, Sistema operacional (MSDOS.SYS e IO.SYS), COMMAND.COM, Config.sys, Autoexec.bat.
Como o código do bootstrap é sempre o mesmo para todos os micros que possuam MS-DOS ou Windows 95, um programa antivírus é capaz de identificar rapidamente se um micro possui ou não um vírus de boot, comparando o código bootstrap existente no disco com o código do bootstap padrão. Se eles forem diferentes, há um vírus de boot no disco. Isto dá a possibilidade, inclusive, do programa antivírus identificar um vírus de boot desconhecido.
A remoção de um vírus de boot geralmente é muito simples. Se copiarmos um setor de boot padrão por cima de um setor de boot contaminado, iremos desabilitar o carregamento do vírus de boot. Isto é feito facilmente através do comando FDISK /MBR. É claro que este procedimento deve ser feito dando-se um boot com um disquete "limpo", pois caso o vírus esteja residente em memória (RAM), ele contaminará novamente o setor de boot do disco rígido logo após você ter limpado o setor de boot.
Alguns exemplos de vírus de boot: Michelangelo, Stoned, Ping-Pong, Leandro & Kelly, AntiEXE, etc. |
