Vad är ett bootsektorvirus?

Ett startsektorvirus är en speciell typ av virus som är uppkallat efter den plats det kan hittas. Det skulle vara startsektorn för disketter eller Master Boot Record för mer moderna hårddiskar. I vissa fall kan de infektera bootsektorn på nämnda hårddiskar istället för MBR.

Koden som utgör viruset körs när allt som finns på disken eller enheten startas upp. Med andra ord, om användaren försöker koppla in och använda en infekterad hårddisk kör de viruset. När de väl har laddats kommer nästan alla dessa virus att kopiera sig själva till andra tillgängliga och kompatibla diskar och enheter, så om en dator hade fyra rena disketter isatta och en femte infekterad läggs till och används, skulle alla fem troligen sluta infekterade.

Vad gör bootsektorvirus?

På grund av sättet och platsen de är placerade på, kommer virus i startsektorn att köras när enheten de är på startas upp eller ansluts och slås på. De är infektioner på BIOS-nivå, vilket innebär att de inte kräver någon speciell användarinteraktion ( som att öppna ett e-postmeddelande eller klicka på en tvivelaktig webbplatslänk) för att påverka ett system.

Nackdelen är att de förlitar sig på DOS-kommandon för att spridas. DOS har inte använts sedan lanseringen av Windows 95, då användningen av bootsektorvirus snabbt minskade eftersom de inte längre fungerade. De ursprungliga bootsektorvirusen skulle vara helt ofarliga i en modern dator som inte använder/förstår DOS-kommandon – men virustypen kvarstår i en ny variant.

Moderna bootsektorvirus

Den moderna motsvarigheten kallas ofta ett "bootkit", som skriver sig in i MBR eller Master Boot Record. På så sätt uppnår de samma effekt av att starta tidigt i uppstartsprocessen. Detta låter dem dölja både sin närvaro och vad de gör bakom andra processer – och återigen kräver ingen användarinteraktion förutom att starta upp maskinen.

Bootkits är inte kompatibla med flyttbara media – med andra ord, medan de ursprungliga bootsektorvirusen trivdes på disketter, fungerar inte bootkits så. De kunde till exempel inte infektera ett USB-minne – även om de kan lagras och överföras på ett, skulle de inte aktiveras. Andra virus kan köras från flyttbara media, såsom tumenheter, men det kan inte bootkits.

Hur ser ett bootsektorvirus ut?

Som med alla virus beror hur det ser ut både på vem som skapat det och vilket syfte det är avsett att uppnå. En startsektor måste alltid ha 0x55 respektive 0xAA som de sista två byten med data. Utan dem där kommer datorn antingen vägra att starta upp helt eller åtminstone visa ett felmeddelande. Det här felmeddelandet – eller en vägran att starta upp – kan vara en av flera indikatorer på ett startsektorvirus, även om det inte ger någon speciell ledtråd om vad viruset kan göra.

Hur man identifierar ett bootsektorvirus

Ett startsektorvirus kan identifieras på två olika sätt. För det första genom dess handlingar. Ett bootsektorvirus infekterar den del av lagringsmediet som laddas av BIOS vid uppstart. Den infekterar också aktivt alla andra lagringsmedier som är anslutna till den infekterade datorn. Det är värt att komma ihåg att moderna bootkits fungerar lite annorlunda och inte automatiskt infekterar enheter. Det andra sättet att identifiera ett startsektorvirus är med antivirusprogram.

Obs: Virus i startsektorn är i princip föråldrade och förlitar sig på teknik från DOS-eran. Dessa operativsystem ser sannolikt minimal användning, särskilt äldre system. Att hitta en antivirusprodukt som kan köras på ett sådant operativsystem skulle vara en utmaning nu. Dessutom, även om det är troligt att ingen har brytt sig om att skapa nya bootsektorvirus om några nya har släppts, kanske de inte är tillräckligt kategoriserade för att upptäckas om du hittar ett antivirusprogram att köra.

Hur man blir av med ett bootsektorvirus

En antivirusprodukt bör relativt snabbt kunna bli av med ett bootsektorvirus. Detta förutsätter dock att du kan hitta en antivirusprodukt som fungerar på ett så föråldrat system och att den kan upptäcka viruset. Modernare bootkits kan vara extremt svåra att upptäcka och ta bort eftersom de infekterar minnesområden som vanligtvis är begränsade. Båda kan besegras genom att formatera om enheten helt. Denna process torkar dock all data på enheten och är därför inte idealisk.

Det är också teoretiskt möjligt för bootkitet att infektera själva moderkortet, särskilt UEFI BIOS. I det här fallet borde återuppgradering av moderkortet lösa problemet, men det kanske inte är det om viruset kvarstår någon annanstans. Speciellt om viruset kunde återinfektera bilden som moderkortet flashades till. Det 100 % säkra sättet att eliminera virus är att kasta bort den infekterade komponenten. Det är din hårddisk, moderkort etc., inte nödvändigtvis hela datorn.

Slutsats

Ett bootsektorvirus är en klassisk typ från DOS-eran. De infekterade startsektorn för lagringsmedia och infekterade aktivt startsektorn för alla andra tillgängliga lagringsmedier. Startsektorn var den del av lagringsenheten som laddades först av BIOS. Som sådan lanserades skadlig programvara omedelbart.

Eftersom de förlitade sig på BIOS- och DOS-kommandona dog de ut när Windows introducerades. En modern version är känd som en bootkit. Det fungerar på liknande sätt och infekterar starthanteraren som anropar operativsystemet. Detta gör det mycket svårt att upptäcka eller ta bort, eftersom moderna säkerhetsåtgärder skyddar bootloadern från enkel åtkomst.