Et oppstartssektorvirus er en spesiell type virus oppkalt etter stedet det kan bli funnet. Det vil være oppstartssektoren til disketter eller Master Boot Record for mer moderne harddisker. I noen tilfeller kan de infisere oppstartssektoren til nevnte harddisker i stedet for MBR.
Koden som utgjør viruset kjører når det som er på disken eller stasjonen startes opp. Med andre ord, hvis brukeren prøver å koble til og bruke en infisert harddisk, kjører de viruset. Når de er lastet, vil nesten alle disse virusene kopiere seg selv til andre tilgjengelige og kompatible disker og stasjoner, så hvis en datamaskinen hadde fire rene disketter satt inn, og en femte infisert en ble lagt til og brukt, alle fem ville sannsynligvis ende opp smittet.
Hva gjør oppstartssektorvirus?
På grunn av måten og plasseringen de er plassert på, ender oppstartssektorvirus med å kjøre når enheten de er på, startes opp eller plugges inn og slås på. De er infeksjoner på BIOS-nivå, noe som betyr at de ikke krever noen spesiell brukerinteraksjon (
for eksempel å åpne en e-post eller klikke på en tvilsom nettsidekobling) for å påvirke et system.Ulempen er at de er avhengige av DOS-kommandoer for å spre seg. DOS har ikke blitt brukt siden utgivelsen av Windows 95, da bruken av oppstartssektorvirus raskt avtok ettersom de ikke lenger fungerte. De originale oppstartssektorvirusene ville være helt ufarlige i en moderne datamaskin som ikke bruker/forstår DOS-kommandoer – men virustypen vedvarer i en ny variant.
Moderne oppstartssektorvirus
Den moderne ekvivalenten kalles ofte et "bootkit", som skriver seg inn i MBR eller Master Boot Record. På den måten oppnår de samme effekt av å starte tidlig i oppstartsprosessen. Dette lar dem skjule både sin tilstedeværelse og hva de gjør bak andre prosesser – og, igjen, krever ingen brukerinteraksjon annet enn å starte opp maskinen.
Bootkits er ikke kompatible med flyttbare medier - med andre ord, mens de originale bootsektorvirusene trivdes på disketter, fungerer ikke bootkits slik. De kunne for eksempel ikke infisere en USB-pinne – selv om de kan lagres og overføres på en, ville de ikke aktiveres. Andre virus kan kjøres fra flyttbare medier, for eksempel minnepinner, men bootkits kan ikke.
Hvordan ser et Boot Sector Virus ut?
Som med ethvert virus, avhenger hvordan det ser ut både av hvem som har laget det og hvilket formål det er ment å oppnå. En oppstartssektor må alltid ha henholdsvis 0x55 og 0xAA som de siste to bytene med data. Uten dem der, vil datamaskinen enten nekte å starte opp helt eller i det minste vise en feilmelding. Denne feilmeldingen – eller et avslag på å starte – kan være en av flere indikatorer på et oppstartssektorvirus, selv om den ikke gir noen spesiell pekepinn på hva viruset kan gjøre.
Hvordan identifisere et Boot Sector Virus
Et oppstartssektorvirus kan identifiseres på to forskjellige måter. For det første ved sine handlinger. Et oppstartssektorvirus infiserer den delen av lagringsmediet som lastes inn av BIOS ved oppstart. Den infiserer også aktivt alle andre lagringsmedier som er koblet til den infiserte datamaskinen. Det er verdt å huske at moderne bootkits fungerer litt annerledes og ikke automatisk infiserer enheter. Den andre måten å identifisere et oppstartssektorvirus på er med antivirusprogramvare.
Merk: Bootsektorvirus er i hovedsak foreldet, og er avhengig av teknologi fra DOS-æraen. Disse operativsystemene ser sannsynligvis minimal bruk, spesielt eldre systemer. Å finne et antivirusprodukt som kan kjøre på et slikt operativsystem ville være utfordrende nå. I tillegg, mens det er sannsynlig at ingen har brydd seg om å lage nye oppstartssektorvirus hvis noen nye har blitt utgitt, kan det hende at de ikke er tilstrekkelig kategorisert til å bli oppdaget hvis du finner et antivirusprogram til løpe.
Hvordan bli kvitt et Boot Sector Virus
Et antivirusprodukt skal relativt raskt kunne kvitte seg med et oppstartssektorvirus. Dette forutsetter imidlertid at du kan finne et antivirusprodukt som fungerer på et så utdatert system og at det kan oppdage viruset. Mer moderne bootkits kan være ekstremt vanskelig å oppdage og fjerne ettersom de infiserer områder av minnet som vanligvis er begrenset. Begge kan beseires ved å reformatere stasjonen helt. Denne prosessen tørker imidlertid ut alle data på stasjonen og er derfor ikke ideelt.
Det er også teoretisk mulig for oppstartssettet å infisere selve hovedkortet, spesielt UEFI BIOS. I dette tilfellet bør relashing av hovedkortet løse problemet, men det er kanskje ikke det hvis viruset vedvarer andre steder. Spesielt hvis viruset kunne infisere bildet som hovedkortet ble flashet til. Den 100 % sikre måten å eliminere virus på er å kaste den infiserte komponenten. Det er harddisken, hovedkortet osv., ikke nødvendigvis hele datamaskinen.
Konklusjon
Et oppstartssektorvirus er en klassisk type fra DOS-æraen. De infiserte oppstartssektoren til lagringsmedier og infiserte aktivt oppstartssektoren til alle andre tilgjengelige lagringsmedier. Oppstartssektoren var den delen av lagringsenheten som ble lastet først av BIOS. Som sådan ble skadevaren umiddelbart lansert.
Ettersom de stolte på BIOS- og DOS-kommandoene, døde de ut da Windows ble introdusert. En moderne versjon er kjent som en bootkit. Den fungerer på samme måte, og infiserer oppstartslasteren som kaller opp operativsystemet. Dette gjør det svært vanskelig å oppdage eller fjerne, ettersom moderne sikkerhetstiltak beskytter bootloaderen mot enkel tilgang.