Qu’est-ce qu’un virus de secteur d’amorçage ?
Un virus de secteur d’amorçage est un type de virus qui infecte le secteur d’amorçage des disquettes ou le secteur d’amorçage maître (MBR) des disques durs (certains infectent le secteur d’amorçage du disque dur au lieu du MBR). Le code infecté est exécuté lorsque le système est amorcé à partir d’un disque infecté, mais une fois chargé, il infectera les autres disquettes insérées dans l’ordinateur infecté. Bien que les virus de secteur d’amorçage infectent l’ordinateur au niveau du BIOS, ils utilisent des commandes DOS pour se propager aux autres disquettes. C’est pour cette raison qu’ils ont commencé à disparaître après la sortie de Windows 95 (qui utilisait peu les commandes DOS). À l’heure actuelle, il existe des programmes que l’on appelle « bootkits » qui écrivent leur code dans le MBR en vue de se lancer au début du processus d’amorçage et ensuite masquer les actions des programmes malveillants exécutés sous Windows. En revanche, ils ne sont pas conçus pour infecter les supports amovibles.
Seul impératif absolu du secteur d’amorçage, ses deux derniers octets doivent contenir 0x55 et 0xAA. Si cette signature est absente ou corrompue, l’ordinateur peut afficher un message d’erreur et ne pas démarrer. Les problèmes au niveau du secteur peuvent être dus à une corruption physique du disque ou à la présence d’un virus au niveau du secteur d’amorçage.
Comment les virus de secteur d’amorçage se propagent-ils et comment s’en débarrasser ?
La propagation des virus informatiques de secteur d’amorçage se fait la plupart du temps à l’aide de supports physiques. Une clé USB ou une disquette infectée connectée à un ordinateur le transfèrera lors de la lecture de son VBR, puis modifiera ou remplacera le code de démarrage actuel. La prochaine fois qu’un utilisateur essayera de démarrer son ordinateur, le virus sera téléchargé et s’exécutera immédiatement, comme élément du secteur d’amorçage maître. Il est également possible que les pièces jointes des e-mails contiennent le code d’un virus d’amorçage. Si ces pièces jointes sont ouvertes, elles infectent l’ordinateur hôte et peuvent contenir des instructions donnant l’ordre d’envoyer d’autres e-mails aux contacts de l’utilisateur. Les améliorations apportées à l’architecture du BIOS ont réduit la propagation des virus d’amorçage en incluant une option permettant d’éviter toute modification du premier secteur du disque dur d’un ordinateur.
Il peut s’avérer difficile de supprimer un virus d’amorçage, car il peut chiffrer le secteur d’amorçage. Dans de nombreux cas, il est possible que les utilisateurs ne sachent même pas qu’ils ont été infectés par un virus jusqu’à ce qu’ils lancent une analyse de détection des programmes malveillants ou un programme de protection antivirus. Par conséquent, il est essentiel que les utilisateurs fassent appel à des programmes de protection antivirus continuellement mis à jour et disposant d’une vaste base de registre de virus d’amorçage et des données nécessaires pour les supprimer en toute sécurité. Si le virus ne peut pas être supprimé en raison du chiffrement ou d’une altération trop importante du code existant, il peut s’avérer nécessaire de reformater le disque dur pour supprimer l’infection.