Wat is een opstartsectorvirus?

Een opstartsectorvirus is een bepaald soort virus dat genoemd is naar de locatie waar het zich bevindt. Dat zou de opstartsector van diskettes zijn of het Master Boot Record van modernere harde schijven. In sommige gevallen kunnen ze de opstartsector van die harde schijven infecteren in plaats van de MBR.

De code waaruit het virus bestaat, wordt uitgevoerd wanneer wat er ook op de schijf of het station staat, wordt opgestart. Met andere woorden, als de gebruiker een geïnfecteerde harde schijf probeert aan te sluiten en te gebruiken, voert hij het virus uit. Eenmaal geladen, kopiëren bijna al deze virussen zichzelf naar andere beschikbare en compatibele schijven en stations, dus als een computer vier schone diskettes had geplaatst en een vijfde geïnfecteerde werd toegevoegd en gebruikt, zouden ze waarschijnlijk alle vijf geïnfecteerd raken.

Wat doen opstartsectorvirussen?

Vanwege de manier waarop en de locatie waarin ze zijn geplaatst, worden opstartsectorvirussen uitgevoerd wanneer het apparaat waarop ze zich bevinden wordt opgestart of aangesloten en ingeschakeld. Het zijn infecties op BIOS-niveau, wat betekent dat ze geen specifieke gebruikersinteractie vereisen ( zoals het openen van een e-mail of het klikken op een onbetrouwbare websitelink ) om een ​​systeem te beïnvloeden.

Het nadeel is dat ze afhankelijk zijn van DOS-commando's om zich te verspreiden. DOS is niet meer gebruikt sinds de release van Windows 95, waarna het gebruik van bootsectorvirussen snel afnam omdat ze niet meer werkten. De oorspronkelijke bootsectorvirussen zouden volkomen onschadelijk zijn in een moderne computer die geen DOS-commando's gebruikt/begrijpt - het type virus blijft echter bestaan ​​in een nieuwe variant.

Moderne opstartsectorvirussen

Het moderne equivalent wordt vaak een "bootkit" genoemd, die zichzelf in de MBR of Master Boot Record schrijft. Op die manier bereiken ze hetzelfde effect als wanneer ze vroeg in het opstartproces worden gestart. Hierdoor kunnen ze zowel hun aanwezigheid als wat ze doen achter andere processen verbergen - en nogmaals, er is geen andere interactie van de gebruiker nodig dan het opstarten van de machine.

Bootkits zijn niet compatibel met verwisselbare media – met andere woorden, terwijl de oorspronkelijke bootsectorvirussen gedijden op diskettes, werken bootkits niet zo. Ze zouden bijvoorbeeld geen USB-stick kunnen infecteren – hoewel ze op een USB-stick kunnen worden opgeslagen en overgedragen, zouden ze niet activeren. Andere virussen kunnen worden uitgevoerd vanaf verwisselbare media, zoals USB-sticks, maar bootkits niet.

Hoe ziet een opstartsectorvirus eruit?

Zoals met elk virus, hangt hoe het eruit ziet af van zowel wie het heeft gemaakt als welk doel het moet bereiken. Een opstartsector moet altijd respectievelijk 0x55 en 0xAA hebben als de laatste twee bytes aan gegevens. Zonder deze zal de computer weigeren volledig op te starten of op zijn minst een foutmelding weergeven. Deze foutmelding – of een weigering om op te starten – kan een van de vele indicatoren zijn van een opstartsectorvirus, hoewel het geen specifieke aanwijzing geeft over wat het virus zou kunnen doen.

Hoe een opstartsectorvirus te identificeren

Een opstartsectorvirus kan op twee verschillende manieren worden geïdentificeerd. Ten eerste door zijn acties. Een opstartsectorvirus infecteert het deel van het opslagmedium dat tijdens het opstarten door het BIOS wordt geladen. Het infecteert ook actief alle andere opslagmedia die op de geïnfecteerde computer zijn aangesloten. Het is de moeite waard eraan te denken dat moderne bootkits iets anders werken en apparaten niet automatisch infecteren. De andere manier om een ​​opstartsectorvirus te identificeren, is met antivirussoftware.

Opmerking: Bootsectorvirussen zijn in wezen achterhaald en vertrouwen op technologie uit het DOS-tijdperk. Deze besturingssystemen worden waarschijnlijk minimaal gebruikt, met name oudere systemen. Het zou nu een uitdaging zijn om een ​​antivirusproduct te vinden dat op zo'n besturingssysteem kan draaien. Bovendien, hoewel het waarschijnlijk is dat niemand de moeite heeft genomen om nieuwe opstartsectorvirussen te maken als er nieuwe zijn uitgebracht, zijn ze mogelijk niet voldoende gecategoriseerd om te worden gedetecteerd als u een antivirusprogramma vindt om uit te voeren.

Hoe zich te ontdoen van een opstartsectorvirus

Een antivirusproduct zou relatief snel een bootsectorvirus moeten kunnen verwijderen. Dit veronderstelt echter dat u een antivirusproduct kunt vinden dat op zo'n verouderd systeem werkt en dat het het virus kan detecteren. Modernere bootkits kunnen buitengewoon moeilijk te detecteren en te verwijderen zijn, omdat ze geheugengebieden infecteren die doorgaans beperkt zijn. Beide kunnen worden verslagen door de schijf volledig opnieuw te formatteren. Dit proces wist echter alle gegevens op de schijf en is dus niet ideaal.

Het is theoretisch ook mogelijk dat de bootkit het moederbord zelf infecteert, met name het UEFI BIOS. In dit geval zou het opnieuw flashen van het moederbord het probleem moeten oplossen, maar mogelijk niet als het virus elders aanhoudt. Vooral als het virus de afbeelding waarnaar het moederbord was geflitst, opnieuw zou kunnen infecteren. De 100% trefzekere manier om een ​​virus te elimineren, is door het geïnfecteerde onderdeel weg te gooien. Dat is uw harde schijf, moederbord, enz., Niet noodzakelijkerwijs de hele computer.

Conclusie

Een bootsectorvirus is een klassiek type uit het DOS-tijdperk. Ze infecteerden de opstartsector van opslagmedia en infecteerden actief de opstartsector van andere beschikbare opslagmedia. De opstartsector was het gedeelte van het opslagapparaat dat als eerste door het BIOS werd geladen. Als zodanig werd de malware onmiddellijk gelanceerd.

Omdat ze vertrouwden op de BIOS- en DOS-opdrachten, stierven ze uit toen Windows werd geïntroduceerd. Een moderne versie staat bekend als een bootkit. Het werkt op dezelfde manier en infecteert de bootloader die het besturingssysteem aanroept. Dit maakt het erg moeilijk om de bootloader te detecteren of te verwijderen, omdat moderne beveiligingsmaatregelen de bootloader beschermen tegen gemakkelijke toegang.