Hvað er ræsisviðsvírus?

Stígvélavírus er ákveðin tegund af vírus sem heitir eftir staðsetningunni sem hann er að finna. Það væri ræsingargeiri disklinga eða Master Boot Record af nútímalegri hörðum diskum. Í sumum tilfellum geta þeir smitað ræsingargeirann á umræddum harðum diskum í stað MBR.

Kóðinn sem myndar vírusinn keyrir þegar allt sem er á disknum eða drifinu er ræst upp. Með öðrum orðum, ef notandinn reynir að tengja og nota sýktan harðan disk, keyrir hann vírusinn. Þegar þeir hafa verið hlaðnir munu næstum allir þessir vírusar afrita sig yfir á aðra tiltæka og samhæfa diska og drif, þannig að ef tölva væri með fjóra hreina disklinga í, og þeim fimmta sýkta væri bætt við og notaður, myndu allir fimm líklega enda sýktir.

Hvað gera ræsisviðsvírusar?

Vegna þess hvernig og staðsetningin sem þeir eru settir á, endar ræsisgeiravírusar að keyra þegar tækið sem þeir eru á er ræst upp eða tengt og kveikt á. Þetta eru sýkingar á BIOS-stigi, sem þýðir að þær krefjast ekki sérstakrar notendasamskipta ( svo sem að opna tölvupóst eða smella á tvísýnan vefsíðutengil ) til að hafa áhrif á kerfi.

Gallinn er sá að þeir treysta á DOS skipanir til að dreifa. DOS hefur ekki verið notað síðan Windows 95 kom út, en þá dró hratt úr notkun ræsisgeiravírusa þar sem þeir virkuðu ekki lengur. Upprunalegu ræsisgeiravírusarnir væru algjörlega skaðlausir í nútíma tölvu sem notar/skilur ekki DOS skipanir – hins vegar er tegund vírusa viðvarandi í nýju afbrigði.

Nútíma stígvélavírusar

Nútímajafngildið er oft kallað „bootkit“ sem skrifar sig inn í MBR eða Master Boot Record. Þannig ná þeir sömu áhrifum og ræsa snemma í ræsingarferlinu. Þetta gerir þeim kleift að fela bæði nærveru sína og það sem þeir eru að gera á bak við önnur ferli - og aftur, krefst engin notendaviðskipta nema að ræsa vélina.

Bootkits eru ekki samhæfðar færanlegum miðlum - með öðrum orðum, á meðan upprunalegu ræsigeirans vírusar dafnaði á disklingum, virka ræsibúnaður ekki þannig. Þeir gætu til dæmis ekki sýkt USB-lyki – þó að hægt sé að geyma og flytja þá á einum myndu þeir ekki virkjast. Aðrir vírusar geta keyrt frá færanlegum miðlum, eins og þumalfingursdrifum, en ræsibúnaður getur það ekki.

Hvernig lítur Boot Sector Veira út?

Eins og með hvaða vírus sem er, fer það eftir því hvernig hann lítur út bæði eftir því hver bjó hann til og hvaða tilgangi honum er ætlað að ná. Stígvélageiri þarf alltaf að hafa 0x55 og 0xAA sem síðustu tvö bæti af gögnum, í sömu röð. Án þeirra þar mun tölvan annað hvort neita að ræsa algjörlega eða að minnsta kosti sýna villuboð. Þessi villuboð – eða neitun á að ræsa – getur verið einn af mörgum vísbendingum um ræsisviðsvírus, þó að það gefi enga sérstaka vísbendingu um hvað vírusinn gæti verið að gera.

Hvernig á að bera kennsl á ræsisviðsvírus

Hægt er að bera kennsl á stígvélavírus á tvo mismunandi vegu. Í fyrsta lagi með aðgerðum sínum. Ræsiveira vírus sýkir þann hluta geymslumiðils sem BIOS hleður upp við ræsingu. Það sýkir einnig virkan alla aðra geymslumiðla sem eru tengdir við sýktu tölvuna. Það er þess virði að muna að nútíma bootkits virka aðeins öðruvísi og sýkja ekki tæki sjálfkrafa. Hin leiðin til að bera kennsl á stígvélavírus er með vírusvarnarhugbúnaði.

Athugið: Veirur í ræsigeiranum eru í meginatriðum úreltar og treysta á tækni frá DOS-tímum. Þessi stýrikerfi sjá líklega lágmarksnotkun, sérstaklega eldri kerfi. Að finna vírusvarnarvöru sem getur keyrt á slíku stýrikerfi væri krefjandi núna. Að auki, þó að það sé líklegt að enginn hafi nennt að búa til nýja ræsisgeira vírusa ef einhverjir nýir hafa verið gefnir út, þá er ekki víst að þeir séu nægilega flokkaðir til að finnast þeir ef þú finnur vírusvarnarforrit til að keyra.

Hvernig á að losna við ræsisviðsvírus

Vírusvarnarvara ætti að geta losað sig við ræsisviðavírus tiltölulega fljótt. Þetta gerir þó ráð fyrir að þú getir fundið vírusvarnarvöru sem virkar á svo úreltu kerfi og að hún geti greint vírusinn. Mjög erfitt getur verið að greina og fjarlægja nútímalegri ræsipakka þar sem þau smita minnissvæði sem eru venjulega takmörkuð. Hægt er að vinna bug á báðum með því að endursníða drifið alveg. Þetta ferli þurrkar hins vegar öll gögn á drifinu og er því ekki tilvalið.

Það er líka fræðilega mögulegt fyrir ræsibúnaðinn að smita móðurborðið sjálft, sérstaklega UEFI BIOS. Í þessu tilviki ætti endurnýjun móðurborðsins að leysa vandamálið, en það gæti ekki verið ef vírusinn er viðvarandi annars staðar. Sérstaklega ef vírusinn gæti endursmitað myndina sem móðurborðið var flassað á. 100% örugga leiðin til að útrýma öllum vírusum er að henda sýkta íhlutnum. Það er harði diskurinn þinn, móðurborðið o.s.frv., ekki endilega öll tölvan.

Niðurstaða

Boot sector vírus er klassísk gerð frá DOS tímum. Þeir sýktu ræsingargeirann á geymslumiðlum og sýktu virkan ræsingargeirann á öðrum tiltækum geymslumiðlum. Ræsageirinn var sá hluti geymslutækisins sem BIOS hlaðið fyrst. Sem slíkur var spilliforritinu strax hleypt af stokkunum.

Þar sem þeir treystu á BIOS og DOS skipanirnar dóu þær út þegar Windows var kynnt. Nútíma útgáfa er þekkt sem bootkit. Það virkar á svipaðan hátt og smitar ræsiforritann sem kallar á stýrikerfið. Þetta gerir það mjög erfitt að greina eða fjarlægja, þar sem nútíma öryggisráðstafanir vernda ræsiforritið frá greiðan aðgang.