Boot viry


Boot viry infikují boot sektor disket a boot sektor nebo master boot record pevného disku. Před infekcí těchto oblastí překopíruje (většinou) virus originální boot sektor (nebo MBR) na jiný sektor disku (např. na první volný sektor) a pak překopíruje sám sebe do boot sektoru (nebo do MBR). Pokud je tělo boot viru delší než délka boot sektoru (nebo MBR), překopíruje zbývající část svého těla do jiných sektorů. Takové sektory většinou označí jako vadné (podle pravidel FAT tabulky označí celý klastr jako vadný (pseudobad cluster)).

Nezavirovaný disk:

Disk po napadení boot virem:

Možna místa pro umístění původního boot sektoru a druhé části boot viru:
  • sektory v prázdných klastrech
  • sektory v používaných klastrech
  • sektory v systémových oblastech (hlavní adresář...)
  • sektory, které se nacházejí mimo aktivní rozsah disku (na to má vliv Partition tabulka)


    Boot viry, které jsou rozděleny na dvě části můžeme dále dělit podle metod:
  • Brain metoda. Cluster, na kterém se nachází drůhá část viru je označen v tabulce FAT jako vadný (pseudobad cluster).
  • Stoned metoda. Původní boot sektor je odložen na nepoužívaný, či málo používaný sektor. Na pevných discích je takový sektor mezi MBR a boot sektorem. Na disketách je to poslední sektor hlavního adresáře (root sektor - root directory).

    Existují však i viry, které původní boot sektor nikam neodkládají a jednoduše ho přepíšou.
    Typické schéma činnosti jednoduchého boot viru vypadá následovně:

  • Prvním krokem, kterým začíná kariéra takového viru v počítači (a také občas končí kariéra odpovědného pracovníka), je "nabootování" (tedy zavedení operačního systému) z diskety nakažené boot virem. V tomto okamžiku je vir zaveden do paměti a je mu předáno řízení. Není přitom nezbytné, aby disketa byla systémová; typickým zdrojem takovéto nákazy bývá disketa pro přenos dat, která zůstala omylem zamčena v mechanice při startu počítače.
  • V další fázi si vir vyhlédne dostatečný velký kus paměti, který obsadí a překopíruje se do něj.
  • Aby se kopie viru vytvořená v předchozím kroku dostala ještě ke slovu, musí vir následně změnit adresy některých systémových služeb (typicky diskové operace, někdy také časovač a jiné) tak, aby jejich vyvoláním došlo nejprve k aktivaci rezidentní části viru, která pak rozhodne, co se opravdu provede. Viry, které se takto usazují v paměti, nazýváme obecně rezidentní. Protože však každý boot vir je rezidentní už z principu, bývá zvykem tuto vlastnost již explicitně neuvádět.
  • Následuje kontrola, zda je nakažen boot sektor pevného disku, ze kterého se běžně zavádí systém. Pokud je tento sektor "vyruprostý", vir jej okamžitě nakazí.
  • Vir vyhledá na napadené disketě původní boot sektor, který načte do paměti, a spustí jej. Od této chvíle počítač pokračuje v běžném zavádění systému s tím, že vir je nadále aktivní v paměti připraven změnit běh věcí příštích.
  • Pokud je po zavedení systému provedena jakákoli operace přistupující na disketu, je vir před provedením této operace aktivován (bod 3) a v případě, že tato disketa ještě není napadena, infikuje ji postupem anologickým bodu 4.
  • Pokud jsou splněny zadané podmínky, provede vir připravenou akci (výpis textu, formátování disku apod.).

    Zdroj: AVP virus encyclopedia

    Zdroj: Praktická sebeobrana proti virům