En opstartssektorvirus er en bestemt type virus opkaldt efter det sted, den kan findes. Det ville være opstartssektoren for disketter eller Master Boot Record for mere moderne harddiske. I nogle tilfælde kan de inficere bootsektoren på nævnte harddiske i stedet for MBR.
Den kode, der udgør virussen, kører, når det, der er på disken eller drevet, startes op. Med andre ord, hvis brugeren forsøger at tilslutte og bruge en inficeret harddisk, udfører de virussen. Når de først er indlæst, vil næsten alle disse vira kopiere sig selv til andre tilgængelige og kompatible diske og drev, så hvis en computeren havde fire rene disketter indsat, og en femte inficeret blev tilføjet og brugt, alle fem ville sandsynligvis ende med inficeret.
Hvad gør bootsektorvirus?
På grund af måden og placeringen, de er placeret på, ender bootsektorvirus med at køre, når den enhed, de er på, startes op eller tilsluttes og tændes. De er infektioner på BIOS-niveau, hvilket betyder, at de ikke kræver nogen særlig brugerinteraktion (
såsom at åbne en e-mail eller klikke på et risikable webstedslink) for at påvirke et system.Ulempen er, at de er afhængige af DOS-kommandoer for at sprede sig. DOS er ikke blevet brugt siden udgivelsen af Windows 95, hvorefter brugen af bootsektorvirus hurtigt faldt, da de ikke længere virkede. De originale opstartssektorvirus ville være helt ufarlige i en moderne computer, der ikke bruger/forstår DOS-kommandoer - dog eksisterer virustypen i en ny variant.
Moderne bootsektorvirus
Den moderne ækvivalent kaldes ofte et "bootkit", som skriver sig selv ind i MBR eller Master Boot Record. På den måde opnår de samme effekt af at starte tidligt i opstartsprocessen. Dette lader dem skjule både deres tilstedeværelse og hvad de laver bag andre processer – og igen kræver det ingen brugerinteraktion udover at starte maskinen op.
Bootkits er ikke kompatible med flytbare medier - med andre ord, mens de originale bootsektorvirus trivedes på disketter, fungerer bootkits ikke sådan. De kunne for eksempel ikke inficere en USB-stick – selvom de kan gemmes og overføres på en, ville de ikke aktiveres. Andre vira kan køre fra flytbare medier, såsom thumb-drev, men bootkits kan ikke.
Hvordan ser en Boot Sector Virus ud?
Som med enhver virus afhænger hvordan den ser ud både af, hvem der har skabt den, og hvilket formål den er beregnet til at opnå. En bootsektor skal altid have henholdsvis 0x55 og 0xAA som de sidste to bytes data. Uden dem der, vil computeren enten nægte at starte helt eller i det mindste vise en fejlmeddelelse. Denne fejlmeddelelse - eller et afslag på at starte - kan være en af flere indikatorer for en bootsektorvirus, selvom den ikke giver nogen særlig anelse om, hvad virussen kan gøre.
Sådan identificeres en Boot Sector Virus
En bootsektorvirus kan identificeres på to forskellige måder. For det første ved sine handlinger. En bootsektorvirus inficerer den del af lagermediet, der indlæses af BIOS'en, når den starter op. Det inficerer også aktivt alle andre lagermedier, der er knyttet til den inficerede computer. Det er værd at huske på, at moderne bootkits fungerer lidt anderledes og ikke automatisk inficerer enheder. Den anden måde at identificere en bootsektorvirus på er med antivirussoftware.
Bemærk: Boot-sektorvirus er i det væsentlige forældede, idet de er afhængige af teknologi fra DOS-æraen. Disse operativsystemer ser sandsynligvis minimal brug, især ældre systemer. At finde et antivirusprodukt, der kan køre på et sådant operativsystem, ville være en udfordring nu. Derudover, mens det er sandsynligt, at ingen har gidet at lave nye bootsektorvirus, hvis nogen nye er blevet frigivet, er de muligvis ikke tilstrækkeligt kategoriseret til at blive opdaget, hvis du finder et antivirusprogram til løb.
Sådan slipper du af med en Boot Sector Virus
Et antivirusprodukt burde relativt hurtigt kunne slippe af med en bootsektorvirus. Dette forudsætter dog, at du kan finde et antivirusprodukt, der virker på et så forældet system, og at det kan opdage virussen. Mere moderne bootkits kan være ekstremt svære at opdage og fjerne, da de inficerer områder af hukommelse, der typisk er begrænset. Begge kan besejres ved at omformatere drevet helt. Denne proces tørrer dog alle data på drevet, og det er derfor ikke ideelt.
Det er også teoretisk muligt for bootkittet at inficere selve bundkortet, specifikt UEFI BIOS. I dette tilfælde burde en genopladning af bundkortet løse problemet, men det er måske ikke, hvis virussen fortsætter andre steder. Især hvis virussen kunne geninficere det billede, som bundkortet blev flashet til. Den 100 % sikre måde at fjerne enhver virus på er at smide den inficerede komponent væk. Det er din harddisk, bundkort osv., ikke nødvendigvis hele computeren.
Konklusion
En boot-sektorvirus er en klassisk type fra DOS-æraen. De inficerede opstartssektoren på lagermedier og inficerede aktivt opstartssektoren på ethvert andet tilgængeligt lagermedie. Boot-sektoren var den del af lagerenheden, der først blev indlæst af BIOS. Som sådan blev malwaren straks lanceret.
Da de stolede på BIOS- og DOS-kommandoerne, døde de ud, da Windows blev introduceret. En moderne version er kendt som et bootkit. Det fungerer på samme måde og inficerer bootloaderen, der kalder operativsystemet. Dette gør det meget svært at opdage eller fjerne, da moderne sikkerhedsforanstaltninger beskytter bootloaderen mod nem adgang.