|
Los virus de boot o de arranque se activan en el momento en que se arranca el ordenador desde un disco infectado, ya sea desde el disco duro o desde un disquete. Los virus que infectan el sector de arranque sustituyen el código del sector de inicio de los disquetes o del disco duro por su propio código, moviendo el código del sector original a otra posición del dispositivo.
Después de la infección, cuando se arranque el sistema se ejecutará el código contenido en el sector de arranque, pasando el virus a la memoria. En caso de que sea necesario, el virus hará que el sistema continúe el proceso de inicio con el contenido del sector original. Muchos virus emplean este método, pues así toman el control del ordenador desde que éste se enciende.
Es importante hacer notar que cualquier disco puede ser infectado, no es necesario que el disco sea de sistema. Muchas veces nos dejamos olvidado un disco en la disquetera y al volver a arrancar, aparece el mensaje indicando que el disco no es de inicio, a pesar de ello, el disco podía haber estado infectado y hasta haber pasado su código dañino al arranque del disco duro.
Es importante que el antivirus detecte este tipo de virus y sea capaz de avisar de aquellos disquetes (o discos duros) que tienen su sector de arranque infectado. Esta prueba se puede calificar como la más dura de pasar, y es que hemos empleado 60 virus de boot únicos, cada uno en un disco diferente. Realizar esta prueba supone meter un disquete, analizar el arranque con el antivirus, apuntar el resultado y repetir este mismo proceso con cada uno de los 60 disquetes en cada uno de los 10 programas. No hay que ser muy bueno en matemáticas para darse cuenta que para pasar ésta prueba es equivalente a meter 600 veces un disquete.
En muchas pruebas e incluso en certificaciones el chequeo del arranque se realiza con ficheros que son volcados del boot, pero no éste físicamente. Esto trae algunas complicaciones, por que por ejemplo ni Norman, ni Norton, ni ThunderByte reconocen esos ficheros como virus (y no tienen porque hacerlo pues no tiene sentido). Por lo que para evaluar correctamente a todos los antivirus hay que hacerlo disco a disco.
|
Boot |
|
|
Total |
60 |
% |
|
Norton |
57 |
95 |
|
Norman |
57 |
95 |
|
ThunderByte |
54 |
90 |
|
Panda |
53 |
88.33 |
|
VirusScan |
59 |
98.33 |
|
Dr.Solomons |
59 |
98.33 |
|
F-Secure |
59 |
98.33 |
|
AVP |
59 |
98.33 |
|
Sophos |
59 |
98.33 |
|
Command |
57 |
95 |
Todos los productos se han mostrado sumamente eficaces ante este tipo de virus. De hecho, muchos de los virus a detectar para conseguir una certificación son de éste tipo. Aunque como se ve en la tabla de esta prueba Panda Antivirus queda sorprendentemente por detrás de todos sus competidores con una marcada diferencia.
También se ha probado el módulo residente con los discos con la boot infectada, tanto al entrar al disco con el Explorador de Windows para ver un directorio, como efectuando un DIR desde una ventana DOS. Si el módulo residente funcionase correctamente debería producirse un aviso indicando la infección de la boot. Ante ésta prueba, todos los productos responden bien menos F-Secure que no detecta la infección de la boot (el resto de infecciones posibles si las detecta correctamente).
Por otra parte, más sorprendente resulta el comportamiento del residente de Panda y VirusScan. El residente de estos productos no parece funcionar correctamente en todas las ocasiones, hay veces en que realiza la detección con normalidad, mientras que en otras falla sin saber por que. No hemos encontrado ningún patrón lógico que explicara este extraño proceder.
|
