Que é un virus do sector de arranque?

Un virus do sector de arranque é un tipo particular de virus que recibe o nome da localización na que se pode atopar. Ese sería o sector de arranque dos disquetes ou o Master Boot Record dos discos duros máis modernos. Nalgúns casos, poden infectar o sector de arranque dos devanditos discos duros en lugar do MBR.

O código que forma o virus execútase cando se inicia o que hai no disco ou no disco. Noutras palabras, se o usuario tenta conectar e utilizar un disco duro infectado, executa o virus. Unha vez cargados, case todos estes virus copiaranse noutros discos e unidades dispoñibles e compatibles, polo que se un ordenador tivese catro disquetes limpos inseridos e se engadise e utilizase un quinto infectado, os cinco probablemente acabarían infectados.

Que fan os virus do sector de arranque?

Debido á forma e á localización na que se sitúan, os virus do sector de arranque acaban executándose cando o dispositivo no que se atopan se inicia ou se conecta e se acende. Son infeccións a nivel de BIOS, o que significa que non requiren ningunha interacción particular do usuario ( como abrir un correo electrónico ou facer clic nunha ligazón dun sitio web dudoso ) para afectar a un sistema.

A desvantaxe é que dependen dos comandos de DOS para espallarse. DOS non se utilizou desde o lanzamento de Windows 95, momento no que o uso de virus do sector de arranque diminuíu rapidamente xa que xa non funcionaban. Os virus orixinais do sector de arranque serían totalmente inofensivos nun ordenador moderno que non usa/entende os comandos de DOS; con todo, o tipo de virus persiste nunha nova variante.

Virus do sector de arranque moderno

O equivalente moderno adoita chamarse "bootkit", que se escribe no MBR ou Master Boot Record. Deste xeito, conseguen o mesmo efecto de iniciarse no inicio do proceso de inicio. Isto permítelles ocultar tanto a súa presenza como o que están a facer detrás doutros procesos e, de novo, non require ningunha interacción do usuario que non sexa o arranque da máquina.

Os kits de arranque non son compatibles con medios extraíbles; noutras palabras, mentres que os virus orixinais do sector de arranque prosperaron nos disquetes, os kits de arranque non funcionan así. Non poderían, por exemplo, infectar unha memoria USB; aínda que se poden almacenar e transferir nun, non se activarían. Outros virus poden executarse desde medios extraíbles, como as unidades de memoria, pero os bootkits non.

Como é un virus do sector de arranque?

Como ocorre con calquera virus, o seu aspecto depende tanto de quen o creou como do propósito que se pretende conseguir. Un sector de arranque sempre ten que ter 0x55 e 0xAA como os dous últimos bytes de datos, respectivamente. Sen eles alí, o ordenador rexeitará iniciarse por completo ou, polo menos, mostrará unha mensaxe de erro. Esta mensaxe de erro, ou a negativa ao arranque, pode ser un dos varios indicadores dun virus do sector de arranque, aínda que non dá ningunha pista particular sobre o que pode estar facendo o virus.

Como identificar un virus do sector de arranque

Un virus do sector de arranque pódese identificar de dúas formas diferentes. En primeiro lugar, polas súas accións. Un virus do sector de arranque infecta a parte do medio de almacenamento cargado pola BIOS ao iniciarse. Tamén infecta activamente todos os demais medios de almacenamento conectados ao ordenador infectado. Paga a pena lembrar que os kits de arranque modernos funcionan de forma lixeiramente diferente e non infectan automaticamente os dispositivos. A outra forma de identificar un virus do sector de arranque é cun software antivirus.

Nota: Os virus do sector de arranque son esencialmente obsoletos e dependen da tecnoloxía da era DOS. Estes sistemas operativos probablemente teñan un uso mínimo, especialmente os sistemas legados. Atopar un produto antivirus que se poida executar nun sistema operativo deste tipo sería un reto agora. Ademais, aínda que é probable que ninguén se molestase en crear novos virus do sector de arranque se se lanzaron outros novos, é posible que non estean axeitadamente categorizados para detectarse se atopa un programa antivirus para executar.

Como desfacerse dun virus do sector de arranque

Un produto antivirus debería ser capaz de desfacerse dun virus do sector de arranque con relativa rapidez. Isto supón, non obstante, que pode atopar un produto antivirus que funcione nun sistema tan obsoleto e que poida detectar o virus. Os kits de arranque máis modernos poden ser extremadamente difíciles de detectar e eliminar xa que infectan áreas de memoria normalmente restrinxidas. Ambos poden ser derrotados reformateando a unidade por completo. Este proceso, con todo, borra todos os datos da unidade e, polo tanto, non é ideal.

Teoricamente tamén é posible que o bootkit infecte a propia placa base, concretamente a UEFI BIOS. Neste caso, reiniciar a placa base debería resolver o problema, pero pode que non sexa así se o virus persiste noutro lugar. Especialmente se o virus puidese reinfectar a imaxe á que se flasheou a placa base. A forma 100% segura de eliminar calquera virus é tirar o compoñente infectado. Ese é o teu disco duro, placa base, etc., non necesariamente todo o ordenador.

Conclusión

Un virus do sector de arranque é un tipo clásico da era de DOS. Infectaron o sector de arranque dos medios de almacenamento e infectaron activamente o sector de arranque de calquera outro medio de almacenamento dispoñible. O sector de arranque era a parte do dispositivo de almacenamento cargada primeiro pola BIOS. Como tal, o malware lanzouse inmediatamente.

Como confiaban nos comandos da BIOS e DOS, desapareceron cando se introduciu Windows. Unha versión moderna coñécese como bootkit. Actúa de xeito similar, infectando o cargador de arranque que chama ao sistema operativo. Isto dificulta moito a detección ou eliminación, xa que as medidas de seguridade modernas protexen o cargador de arranque do fácil acceso.