¿Qué es un virus del sector de arranque?

Un virus del sector de arranque es un tipo particular de virus que lleva el nombre de la ubicación en la que se puede encontrar. Ese sería el sector de arranque de los disquetes o el Master Boot Record de los discos duros más modernos. En algunos casos, pueden infectar el sector de arranque de dichos discos duros en lugar del MBR.

El código que compone el virus se ejecuta cuando se inicia lo que sea que esté en el disco o en la unidad. En otras palabras, si el usuario intenta conectarse y utilizar un disco duro infectado, ejecuta el virus. Una vez cargados, casi todos estos virus se copiarán en otros discos y unidades disponibles y compatibles, por lo que si un computadora tenía cuatro disquetes limpios insertados, y se agregó y usó un quinto infectado, los cinco probablemente terminarían infectado.

¿Qué hacen los virus del sector de arranque?

Debido a la forma y la ubicación en la que se ubican, los virus del sector de arranque terminan ejecutándose cuando el dispositivo en el que se encuentran se inicia o se conecta y enciende. Son infecciones a nivel de BIOS, lo que significa que no requieren ninguna interacción particular del usuario (

como abrir un correo electrónico o hacer clic en el enlace de un sitio web dudoso) para afectar un sistema.

La desventaja es que dependen de los comandos de DOS para propagarse. DOS no se ha utilizado desde el lanzamiento de Windows 95, momento en el que el uso de virus del sector de arranque disminuyó rápidamente porque ya no funcionaban. Los virus del sector de arranque originales serían completamente inofensivos en una computadora moderna que no usa/entiende los comandos de DOS; sin embargo, el tipo de virus persiste en una nueva variante.

Virus del sector de arranque moderno

El equivalente moderno a menudo se denomina "bootkit", que se escribe solo en el MBR o Master Boot Record. De esa forma, logran el mismo efecto de iniciarse temprano en el proceso de arranque. Esto les permite ocultar tanto su presencia como lo que están haciendo detrás de otros procesos y, nuevamente, no requiere ninguna interacción del usuario más que iniciar la máquina.

Los bootkits no son compatibles con medios extraíbles; en otras palabras, mientras que los virus originales del sector de arranque prosperaron en disquetes, los bootkits no funcionan así. No podrían, por ejemplo, infectar una memoria USB; aunque se pueden almacenar y transferir en una, no se activarían. Otros virus pueden ejecutarse desde medios extraíbles, como memorias USB, pero los bootkits no.

¿Qué aspecto tiene un virus del sector de arranque?

Al igual que con cualquier virus, su aspecto depende tanto de quién lo creó como del propósito que se pretende lograr. Un sector de arranque siempre debe tener 0x55 y 0xAA como los dos últimos bytes de datos, respectivamente. Sin ellos allí, la computadora se negará a arrancar por completo o al menos mostrará un mensaje de error. Este mensaje de error, o una negativa a iniciar, puede ser uno de varios indicadores de un virus del sector de inicio, aunque no da ninguna pista particular sobre lo que podría estar haciendo el virus.

Cómo identificar un virus del sector de arranque

Un virus del sector de arranque se puede identificar de dos maneras diferentes. En primer lugar, por sus acciones. Un virus del sector de arranque infecta la parte de los medios de almacenamiento cargados por el BIOS al arrancar. También infecta activamente todos los demás medios de almacenamiento conectados a la computadora infectada. Vale la pena recordar que los bootkits modernos funcionan de forma ligeramente diferente y no infectan automáticamente los dispositivos. La otra forma de identificar un virus del sector de arranque es con un software antivirus.

Nota: Los virus del sector de arranque son esencialmente obsoletos y dependen de la tecnología de la era DOS. Es probable que estos sistemas operativos vean un uso mínimo, particularmente los sistemas heredados. Encontrar un producto antivirus que pueda ejecutarse en un sistema operativo de este tipo sería un desafío ahora. Además, aunque es probable que nadie se haya molestado en crear nuevos virus del sector de arranque, si es que hay alguno nuevo han sido lanzados, es posible que no estén categorizados adecuadamente para ser detectados si encuentra un programa antivirus para correr.

Cómo deshacerse de un virus del sector de arranque

Un producto antivirus debería poder deshacerse de un virus del sector de arranque con relativa rapidez. Sin embargo, esto supone que puede encontrar un producto antivirus que funcione en un sistema tan obsoleto y que pueda detectar el virus. Los bootkits más modernos pueden ser extremadamente difíciles de detectar y eliminar, ya que infectan áreas de la memoria que normalmente están restringidas. Ambos pueden anularse reformateando el disco por completo. Este proceso, sin embargo, borra todo datos en el disco, por lo que no es lo ideal.

También es teóricamente posible que el kit de arranque infecte la placa base, específicamente el BIOS UEFI. En este caso, volver a actualizar la placa base debería resolver el problema, pero es posible que no lo haga si el virus persiste en otro lugar. Especialmente si el virus pudiera reinfectar la imagen a la que se mostró la placa base. La forma 100% segura de eliminar cualquier virus es desechar el componente infectado. Ese es su disco duro, placa base, etc., no necesariamente toda la computadora.

Conclusión

Un virus del sector de arranque es un tipo clásico de la era de DOS. Infectaron el sector de arranque de los medios de almacenamiento e infectaron activamente el sector de arranque de cualquier otro medio de almacenamiento disponible. El sector de arranque era la parte del dispositivo de almacenamiento cargada primero por el BIOS. Como tal, el malware se lanzó de inmediato.

Como dependían de los comandos BIOS y DOS, se extinguieron cuando se introdujo Windows. Una versión moderna se conoce como bootkit. Actúa de manera similar, infectando el gestor de arranque que llama al sistema operativo. Esto hace que sea muy difícil de detectar o eliminar, ya que las modernas medidas de seguridad protegen el gestor de arranque para que no pueda acceder fácilmente.