Virus de boot (BootKit) : Virus s'incrustant dans les zones de « boot » des supports servant au démarrage d'un appareil (disque, clé USB, CD, DVD, etc.)

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les « Virus de Boot » s'implantent dans une zone spécifique de la partition de démarrage d'un ordinateur : les deux premiers secteurs adressables (cylindre 0, tête 0, secteur 0 et 1) des disques durs « amorçables » (sur lesquels l'ordinateur peur démarrer - « bootables »), des disquettes « amorçables » (même si ces disquettes ne contiennent aucun programme exécutable mais uniquement des données) et tout autre support « amorçable » (CD, DVD, Clé USB, etc.).

Cette zone est appelée MBR - Master Boot Record (ou « Zone d'amorce », « Zone d'amorçage »). D'une taille de 512 octets, cette zone comporte la table d'allocation des partitions primaires (les pointeurs vers les 4 premières partitions - partitions de type « primaire ») et un petit programme, appelé le « BootStrap » (le « Lanceur », le « Coup de pied au fondement » ou, plus prosaïquement, le « Coup de pied au cul »), lancé par le BIOS après le POST (Power On Self Test - les tests matériel que fait le BIOS à la mise sous tension de l'ordinateur ou lors de son redémarrage), dont la travail est de lancer un second programme, le « BootLoader » (« Chargeur d'amorçage ») qui se trouve sur la partition active. Ce second programme prend alors en charge le chargement et le lancement d'un troisième programme, le Système d'Exploitation (Windows, Linux, etc.).

Tout ceci se passe :

• Bien avant qu'un quelconque antivirus ou antispyware ou pare-feu applicatif ne soit appelé.

• Bien avant que Windows ou Linux ne se charge.
  

Les virus de boot se servent de cette forme d'infection aussi bien pour leur réplication que pour leur propagation.

• Form, Disk Killer, Michelangelo et Stoned sont des exemples de virus infectant le secteur d'amorçage (BootLoader (chargeur d'amorçage)) qui se trouve sur la partition active.
  

• NYB, AntiExe et Unashamed sont des exemples de virus infectant le secteur d'amorçage principal (MBR - Master Boot Record) lorsqu'il y a plusieurs partitions sur un volume.
  

• One_Half, Emperor, Anthrax ou Tequilla, sont des virus infectant les exécutables et les secteurs de boot. On les appelle parfois « virus multimode » - si le secteur de boot est nettoyé mais pas les fichiers exécutables, le secteur de boot sera ré-infecté. Si les fichiers sont désinfectés mais pas le secteur de boot, les fichiers seront à nouveau contaminés).
  

Si le « BootStrap » est modifié par un virus, il assurera le chargement et le lancement d'un virus avant quoi que ce soit. De là, le virus, sûr d'être toujours lancé, infestera d'autres fichiers (réplication) et, surtout, d'autres supports de manière à assurer son transport vers d'autres machine (propagation).

C'est LE type de virus pour infester des disquettes, disques amovibles amorçables (bootables) et autres supports à partir desquels un ordinateur peut démarrer (CD-Rom, DVD, Clé USB, etc. ...) ! C'est donc un peu archaïque mais extrêmement ennuyeux car la correction de ce genre d'attaques est très délicate et conduit souvent au reformatage pur et simple du disque infecté.

Les « Virus de Boot » infestent donc le « BootStrap » pour être exécutés à chaque démarrage d'un ordinateur avant tout autre programme. Ils s'installent en lieu et place du « BootStrap » qu'ils déplacent un peu plus loin sur le disque dur et en lancent l'exécution eux-mêmes, sous leur contrôle.

Note :
La taille du MBR étant très réduite, ce n'est pas le virus complet qui s'y trouve mais un lanceur du virus qui, lui, occupe une autre partie du disque (par exemple dans un fichier ADS, parfois, dans une partie normalement totalement inaccessible des disques durs : les GAP, ou dans une partition fantôme, etc.)

Vous avez, dans les BIOS de vos machines, un paramètre appelé « Antivirus ». Ce n'est pas réellement un antivirus mais une surveillance de toute tentative de modification du MBR - Master Boot Record. Cet « Antivirus » devrait toujours être activé afin de verrouiller la zone MBR - Master Boot Record. C'est une interdiction d'écrire dans ces zones que vous devez positionner sur « On » ou « Actif » dès après l'installation du système d'exploitation. Aucun autre programme ne devra, par la suite, vous demander l'autorisation de modifier le « BootStrap » (sauf l'installation de votre antivirus à qui vous donnerez le droit de le faire puisque certains antivirus tente de se lancer avant le système d'exploitation afin d'avoir un contrôle total des flux et exercer leurs analyses dès l'appel du BootLoader).

Windows : utiliser debug

UNIX / Linux : utiliser dd et sauvegarder / restaurer le premier secteur uniquement (les 512 premiers octets du disque).
Attention : ne jamais tenter de restaurer un MBR - Master Boot Record d'un disque avec la sauvegarde du MBR - Master Boot Record d'un autre disque. Les pointeurs des partitions (la table des partitions) seraient perdus et donc l'intégralité des contenus de toutes les partitions serait perdue (le seul cas envisageable est lorsqu'un parc de machines est strictement homogène dont, en particulier, les disques sont de même marque, même modèle et sont tous partitionnés exactement de la même manière avec le même outil).

Windows XP : utiliser la commande fixmbr depuis la console de récupération.

Windows Vista et suivants : utiliser la commande bootrec /FixMbr depuis la console de récupération.

Attention : ces réparations sous Windows, sur des machines multiboot, sont égoïstes et, si le MBR - Master Boot Record initial pointait vers un amorçage de Linux (GRUB, LILO), celui-ci est remplacé par le démarrage de Windows. Il faut alors utiliser un CD-ROM Linux et faire une installation ou restauration pour récupérer le multiboot.

Liste partiellement élaborée partir de la liste de rkhunter en 2012 :

• Aduska bootkit (Whistler based)
  

• Alcon
  

• AntiCMOS
  

• Bioskit/Wador
  

• Brain (Janvier 1986 - Le virus "Brain")
  

• Caphaw/Geth bootkit (MBR infection)
  

• Carberp (BkLoader based)
  

• Cidox/Mayachok/Rovnix (VBR/IPL infection way, BkLoader based)
  

• Crazy Boot
  

• Fips Chinese bootkit
  

• Form
  

• Gapz (VBR infection)
  

• Ghostball
  

• Gootkit (BkLoader based)
  

• Guntior/Wapomi bootkit (Chinese combine)
  

• Halcbot bootkit (alias Lapka, Fengd, Pabueri)
  

• Hare
  

• KillMBR/HDDKill (MBR damage)
  

• MaxSS, TDL4 fork (MBR + VBR infection, new hidden partition)
  

• MBRLock/Bootlock (MBR-based ransomware)
  

• Mebratix/Nedoboot (MBR infection)
  

• Michelangelo
  

• Natas
  

• OneHalf
  

• PbBot bootkit (alias Plite, GBPBoot)
  

• Ping-Pong virus
  

• Pitou (MBR infection, alias Backboot)
  

• PiXiEServ (Not Malware)
  

• Popureb/Alipop (MBR infection)
  

• Simda (BkLoader based)
  

• Sinowal/Mebroot (MBR infection)
  

• Smitnyl (MBR infection)
  

• Stoned
  

• TDL4 (MBR infection)
  

• Whistler (MBR infection)
  

• Xpaj (with MBR infection)
  

• Yurn (MBR infection)
  

1 Tests et comparatifs des antivirus Windows

Certains antivirus (pas tous) sont testés régulièrement par des organismes crédibles de tests et comparatifs antivirus, dont c'est le métier, les autres étant des comparatifs critiquables, voire imbéciles.

2 Prétention de tests et comparatifs d'antivirus avec des virus inconnus

Il est impossible de soumettre un virus inconnu à un panel d'antivirus, lors d'un test comparatif, pour la bonne raison que, par essence, le virus ou la menace (malware, exploit, etc.) inconnu est... inconnu ! Le testeur n'en a pas plus connaissance que les produits testés ! Seuls les virus et menaces (malwares, exploits, etc. ...) connus peuvent être soumis.

Un test comparatif qui prétendrait le faire est un test purement mensonger qui doit immédiatement rejoindre l'interminable liste des comparatifs d'antivirus sans aucune crédibilité (liste des comparatifs imbéciles d'antivirus).

Se souvenir à jamais du Rosenthal antivirus test.

3 Comparatif antivirus - Confrontation à la Wild List

1. La Wild List est la liste des virus réellement dans la nature au moment du test. Cette liste est maintenue et partagée par l'ensemble des grands acteurs cooptés du monde des antivirus. Les margoulins, vendeurs de rogues et fakes, ne peuvent approcher ce cercle très fermé de vrais professionnels. Par contre, certains développeurs de virus ou malveillances sont extrêmement brillants et peuvent tenir en échec des antivirus durant des années (voir, par exemple, Equation Group et Shadow Brokers).

2. Ces tests comparatifs sont effectués tous les mois sauf janvier et juillet où les moyennes des 5 mois précédents sont calculées.

Les graphiques suivants sont extraits de nos comparatifs antivirus. Il est important de lire nos sévères critiques de comparatifs antivirus imbéciles trouvés dans la presse et sur certains sites Web.

Comparatif antivirus - « Virus in the Wild » Moyenne 2e semestre 2017

Comparatif antivirus - « Virus in the Wild » - février 2018

Comparatif antivirus - « Virus in the Wild » - mars 2018

Comparatif antivirus - « Virus in the Wild » - avril 2018

Comparatif antivirus - « Virus in the Wild » - mai 2018

4 Comparatif antivirus - Confrontation à des malwares

1. Malwares est un mot générique pour nommer l'ensemble de toutes les classes de parasites et malveillances (on énumère des centaines de classes de malwares).

2. Ces tests sont effectués tous les 6 mois, en mars et septembre.

Comparatif antivirus - « malwares » Mars 2017

Comparatif antivirus - « malwares » Septembre 2017

Comparatif antivirus - « malwares » Mars 2018

5 Comparatif antivirus juillet 2018 - Impact sur le système (ralentissement)

1. Impact (ralentissement) sur le système. Dans ces histogrammes, plus la barre est haute, plus l'impact (le ralentissement) est important.

2. Ces mesures sont effectuées tous les 6 mois, en avril et octobre.

Comparatif antivirus - Impact sur le système - Avril 2016

Comparatif antivirus - Impact sur le système - Octobre 2016

Comparatif antivirus - Impact sur le système - Juin 2017

Comparatif antivirus - Impact sur le système - Octobre 2017

Comparatif antivirus - Impact sur le système - Avril 2018

6 Services d'antivirus pour cybercriminels

Il existe une foule de services multiantivirus gratuits en ligne, agissants dans le darkweb, reprenant l'esprit de VirusTotal et autres services multiantivirus gratuits en ligne, dédiés à la cybercriminalité. Ces services naissent et meurent à toute vitesse, et renaissent aussi vite sous un autre nom. Le but est, pour les cybercriminels, de mettre au point un virus qui ne sera pas détecté par aucun antivirus et, si le virus en cours de mise au point est détecté par un ou plusieurs antivirus, le cybercriminel corrige son code tandis que les antivirus de ces services multiantivirus pour cybercriminels ne communiquent pas les échantillons détectés aux autres antivirus utilisés, contrairement aux VirusTotal (plus de 70 antivirus en 2020 et autres services publics). Ces services multiantivirus en ligne pour cybercriminels sont payants (entre cybercriminels on n'est pas là pour s'entraider, mais pour se faire du fric), permettent aux cybercriminels de vérifier que les virus ou les malveillances qu'ils sont entrain de développer et s'apprêtent à lancer dans la nature, NE SONT PAS DÉTECTÉS, y compris par les analyses heuristiques et dans les sandbox (ou la virtualisation) des antivirus / antimalwares.

Les faiseurs de virus sont nombreux et actifs :

• Ils testent leurs fabrications de virus en les soumettant à des antivirus multimoteurs gratuits en ligne :
  Page des services antivirus multimoteurs gratuits en ligne, chapitre 7 (FAQ des scanners multiantivirus en ligne), paragraphe 2 (Je n'arrive pas à accéder au service multiantivirus), il est développé le fait que de nombreux développeurs de virus et autres malveillances utilisent des versions silencieuses de services antivirus multimoteurs (payants et ne faisant jamais remonter les résultats de leurs analyses auprès des éditeurs des antivirus utilisés).

• Introduction aux sandboxes gratuites en ligne et leur liste.

Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.