Vírus de Boot foi um dos primeiros tipos de vírus a surgir no mundo.

Os vírus
de boot surgiram nos disquetes de 360KB de formato 5"1/4, em 1978, onde eles se
alojavam no setor de boot dos disquetes.

Comportamento[editar | editar código-fonte]

A máquina era infectada quando o usuário inicializava o sistema pelo disquete, onde o
vírus era carregado na memória e era executado.[1]
O processo funciona de maneira simples. O disquete é inserido na máquina e ao ligar
o PC a BIOS o identifica, então carrega seu primeiro setor no endereço de memória
0000:7C00 e executa. O vírus então altera o setor de boot de todos os discos inseridos na
máquina, assim se iniciando antes mesmo do sistema operacional ser carregado.[2]
Um vírus de boot tem um tamanho máximo de 512 Bytes, que seria o tamanho de um
setor de um disco.

O que é um vírus do setor de

inicialização?
Os vírus do setor de inicialização infectam o setor de inicialização de disquetes
ou o Registro Mestre de Inicialização (MBR, Master Boot Record) dos discos
rígidos (alguns infectam o setor de inicialização do disco rígido, em vez do
MBR). O código infectado é executado assim que o sistema é inicializado a
partir de um disco infectado, mas, uma vez carregado, ele infecta outros
disquetes acessados no computador comprometido. Embora os vírus do setor
de inicialização provoquem uma infecção no BIOS, eles usam comandos do
DOS para se propagar para outros disquetes. Por esse motivo, começaram a
sair de cena depois que surgiu o Windows 95 (que usava menos instruções do
DOS). Hoje, existem programas conhecidos como "bootkits", que gravam seus
códigos no MBR para serem carregados logo no começo do processo de
inicialização, disfarçando as ações do malware executado no Windows. No
entanto, eles não são projetados para infectar mídias removíveis.

Os únicos critérios absolutos de um setor de inicialização é conter 0x55 e 0xAA

como seus dois últimos bytes. Se essa assinatura não estiver presente ou
estiver corrompida, o computador poderá exibir uma mensagem de erro e se
recusar a inicializar. Os problemas com o setor se devem à corrupção do disco
físico ou à presença de um vírus do setor de inicialização.

Como os vírus do setor de inicialização se

propagam e como se livrar deles
É mais comum um vírus de computador do setor de inicialização se
propagar com o uso de uma mídia física. Um disquete ou unidade USB
infectada conectada a um computador transfere dados quando o VBR da
unidade é lido, depois modifica ou substitui o código de inicialização existente.
Quando o usuário tenta inicializar seu desktop outra vez, o vírus é carregado e
executado imediatamente como parte do registro de inicialização mestre.
Anexos de e-mail também podem conter códigos de vírus de inicialização. Se
abertos, esses anexos infectam o computador host e podem conter instruções
para enviar mais lotes de e-mails para a lista de contatos do usuário. As
melhorias na arquitetura do BIOS reduziram a propagação de vírus de
inicialização, incluindo a opção de prevenir qualquer modificação no primeiro
setor do disco rígido de um computador.

A remoção de um vírus do setor de inicialização pode ser difícil, pois ele pode
criptografar esse setor. Em muitos casos, os usuários podem nem saber que
foram infectados por um vírus até executarem um programa de proteção
antivírus ou de verificação de malware. Como resultado, é importante que os
usuários continuem atualizando seus programas de proteção contra vírus que
têm grandes registros de vírus de inicialização e os dados necessários para
removê-los com segurança. Se o vírus não for removido devido a criptografia
ou excesso de danos ao código existente, o disco rígido precisará ser
formatado para eliminar a infecção.

Como remover vírus de boot

vírus de boot são os vírus de computador que são automaticamente

ativados quando você iniciar o computador. Estes vírus são especialmente
perigosos porque podem alterar arquivos , chaves de registro e até mesmo
desativar seu programa anti- vírus antes que ele tenha a chance de
proteger o seu computador . Para remover esses vírus resistentes , você
terá que iniciar o computador no Modo de Segurança . Modo de Segurança
é uma ferramenta de diagnóstico que permite que o computador para
arrancar apenas com programas essenciais funcionando, desativando
temporariamente o vírus de boot. Coisas que você precisa
programa anti- vírus
Show Mais instruções
1

Baixe e instale um programa anti- vírus. All- Internet -Security tem uma lista
abrangente de programas anti-vírus veneráveis que ajudarão a remover vírus
de computador ( veja Recursos ) .
2

Inicie o computador no Modo de Segurança. Na tela de inicialização , clique

no botão " F8" no seu teclado. Um menu se abrirá. Selecione "Modo Seguro"
e clique em " Enter" no seu teclado.
3

Abra o seu programa anti- vírus. Selecione "Deep Scan System " ou
"Computer Scan". Clique em " Iniciar". O programa anti- vírus vão começar
a vasculhar arquivos de computador , chaves de registro e diretórios de
memória em busca de vírus , incluindo o vírus de boot. Permitir que o
programa para completar a verificação de vírus. O processo pode demorar
alguns minutos ou algumas horas em um grande disco rígido do computador.
4
Remova os vírus. O programa irá compilar uma lista de arquivos infecciosas.
Realce o nome do vírus e selecione "Remover " ou " Quarantine ". O programa
irá remover quaisquer vírus de computador atualmente infectando seu
computador.
5

Reinicie o computador e inicializar normalmente. Executar uma segunda

verificação de vírus para assegurar que todas as infecções são removidos . O
computador , então, ser livre de vírus de computador .

VIRUS DE BOOT

Após a infecção, quando o sistema é iniciado, o código contido no setor de

inicialização será executado, passando o vírus para a memória. Se necessário,
o vírus fará com que o sistema continue o processo inicial com o conteúdo do
setor original. Muitos vírus usam esse método, pois assumem o controle do
computador desde que ele é ligado.

É importante notar que qualquer disco pode estar infectado, não é necessário
que o disco seja o sistema. Muitas vezes deixamos um disquete no disquete e
ao reiniciar, aparece a mensagem indicando que o disco não é inicializável,
apesar disso, o disco pode ter sido infectado e até ter passado seu código
nocivo para o disco de boot duro

É importante que o antivírus detecte esse tipo de vírus e possa avisar sobre
esses disquetes (ou discos rígidos) que têm seu setor de inicialização
infectado. Esse teste pode ser descrito como o mais difícil de ser aprovado e
usamos 60 vírus de inicialização exclusivos, cada um em um disco diferente.
Realizar este teste envolve colocar um disquete, analisar o boot com o
antivírus, anotar o resultado e repetir o mesmo processo com cada um dos 60
disquetes em cada um dos 10 programas. Você não precisa ser muito bom em
matemática para perceber que passar este teste é equivalente a colocar 600
vezes um disquete.

Em muitos testes e até mesmo em certificações, a verificação de inicialização é

executada com arquivos que são despejos da inicialização, mas não
fisicamente. Isso traz algumas complicações, porque, por exemplo, nem o
Norman, nem o Norton, nem o ThunderByte reconhecem esses arquivos como
vírus (e eles não precisam fazê-lo porque não faz sentido). Então, para avaliar
corretamente todo o antivírus, você tem que fazer disco por disco.

Conceito de Vírus de Boot

Vírus de Boot foram os primeiros tipos a surgirem no mundo, eles se alojam no primeiro setor
do disquete, e ocupavam certa de 1k ou menos. Surgiram nos disquetes flexíveis de 5 1/4.
Na memória são alojados no endereço 0000:7C00h do Bios, e quando o boot ocorre, o vírus se
transfere para este endereço e depois se auto-executa.
Os vírus de boot surgiram nos antigos disco flexíveis de 360k, em 1988.

Forma de Contaminação
A contaminação se dá, quando o usuário inicia o computador pelo disquete contaminado, desta
forma ele infecta o PC, deste momento em diante, todo disquete que for colocado no PC é
contaminado, e vai infectar outro PC saudável que ele for inserido em seguida.

Vírus de Boot Famosos

 Vírus Ping-Pong
 Vírus Stoned
 Jerusalem (Versão Boot)

Ligações externas
Descrição de Vírus de Boot

Introdução

Vírus são programas como outros quaisquer, com a diferença de que foram
escritos com o único objetivo de atormentar a vida do usuário.

Para "pegar" um vírus, você deve obrigatoriamente ou executar um programa

infectado ou acessar um disquete que tenha um vírus escondido. Não há outra
forma de contaminação. Por isto, é impossível pegar vírus através de e-mail,
por exemplo. Mesmo que você tenha um programa infectado, caso você não o
execute, o vírus não irá contaminar o seu micro.

Na verdade, o micro não "pega" vírus nem "fica" com vírus. Os vírus ficam
alojados secretamente dentro de programas ou da área de boot de disquetes ou
do disco rígido. Por este motivo, é impossível que você compre alguma peça
de computador "com vírus"; eles necessitam estar armazenados em algum
lugar, normalmente disquetes e discos rígidos. Como são programas, com o
micro desligado os vírus não podem fazer nada, mesmo que o micro esteja
infectado.
Como funcionam

Ao executar um programa infectado ou acessar um disquete contaminado, o

vírus passa para a memória (RAM) do micro. Estando residente em memória,
ele passará a interceptar todas as rotinas de acesso a arquivo e disco do
sistema operacional; sempre que um novo arquivo for acessado, o vírus
adicionará uma cópia de si próprio neste arquivo (caso o vírus seja um "vírus
de arquivo"). Outro tipo de vírus, conhecido como "vírus de boot" não se
esconde em arquivos, mas no setor de boot de disquetes e de discos rígidos.
Esse tipo de vírus grava uma cópia de si próprio em todos os disquetes que
forem inseridos no drive. Essa é a "fase de contaminação", onde o vírus tenta
se espalhar o máximo possível.

Repare que o vírus estará ativo a partir do momento em que está carregado em
memória (RAM). No caso de vírus de arquivo, eles tratam de infectar logo o
arquivo COMMAND.COM, que é um dos primeiros arquivos a serem
carregados pelo sistema operacional. Como o COMMAND.COM é sempre
carregado, o vírus sempre estará em memória. No caso de vírus de boot, o
vírus é carregado antes do sistema operacional, pois há uma modificação na
rotina de boot do disquete ou do disco rígido.

Por este motivo, não adianta nada executar um programa antivírus a partir de
um micro infectado. Caso você "rode" o antivírus, o mais provável de ocorrer
é o próprio vírus contaminá-lo, pois ele estará carregado em memória. Ou
então, irá acontecer de você retirar o vírus e ele novamente contaminar
arquivos ou o setor de boot, uma vez que ele ainda estará presente na memória
(RAM).

Desta forma, para executar um programa antivírus, você deverá preparar um

disquete de boot (com o comando FORMAT A:/S) e copiar o antivírus para
este disquete. É claro que este procedimento deverá ser executado em um
micro "limpo", sem vírus. Depois, basta dar um boot com o disquete antivírus
que você preparou, ou seja inserir o disquete no drive e ligar o micro. Não se
esqueça de alterar a seqüência de boot no setup. Para isto, pressione a tecla
[DEL] durante a contagem de memória; altere a opção "boot sequence" de
"C,A" para "A,C", no menu "advanced setup". Saia do setup gravando as
alterações feitas.

Outro caso muito comum é o do usuário leigo que fica reclamando "este vírus
é danado mesmo; já reformatei o disco rígido mais de 5 vezes e ele continua
lá!" Primeiro que a formatação do disco rígido só é recomendada em último
caso - quando o antivírus realmente não consegue retirar o vírus do disco
rígido. Em segundo lugar, se você precisar reformatar o disco rígido, deverá
fazê-lo dando um boot com um disquete "limpo", preparado em um micro
não-infectado. Caso você tente formatar o disco rígido dando boot por ele
mesmo, o vírus irá ser carregado em memória (RAM) e, logo após você ter
acabado de formatar o disco, o vírus irá imediatamente se copiar para lá...

Os vírus ficam nesta fase de contaminação até entrarem em atividade. Há

várias maneiras do vírus entrar em atividade, a mais divulgada pela mídia é
através de uma data específica. O vírus Michelangelo, por exemplo, entra em
atividade no dia 6 de março, quando, então, destrói dados do disco rígido.

Quando o vírus entra em atividade várias coisas podem ocorrer. Em geral o

micro "fica maluco", com um comportamento totalmente anormal - o micro
fica apresentando muitas mensagens de erro e "travando" constantemente.
Alguns tipos de vírus destróem dados e outros simplesmente apresentam
mensagens pacíficas.