Boot viry


Boot viry infikujφ boot sektor disket a master boot record (MBR) pevnΘho disku. P°ed infekcφ t∞chto oblastφ p°ekopφruje (v∞tÜinou) virus originßlnφ boot sektor (nebo MBR) na jin² sektor disku (nap°. na prvnφ voln² sektor) a pak p°ekopφruje sßm sebe do boot sektoru (nebo do MBR). Pokud je t∞lo boot viru delÜφ ne₧ dΘlka boot sektoru (nebo MBR), p°ekopφruje zb²vajφcφ Φßst svΘho t∞la do jin²ch sektor∙. TakovΘ sektory v∞tÜinou oznaΦφ jako vadnΘ (podle pravidel FAT tabulky oznaΦφ cel² klastr jako vadn² (pseudobad cluster)).

Nezavirovan² disk:

Disk po napadenφ boot virem:

Mo₧na mφsta pro umφst∞nφ p∙vodnφho boot sektoru a druhΘ Φßsti boot viru:
  • sektory v prßzdn²ch klastrech
  • sektory v pou₧φvan²ch klastrech
  • sektory v systΘmov²ch oblastech (hlavnφ adresß°...)
  • sektory, kterΘ se nachßzejφ mimo aktivnφ rozsah disku (na to mß vliv Partition tabulka)


    Boot viry, kterΘ jsou rozd∞leny na dv∞ Φßsti m∙₧eme dßle d∞lit podle metod:
  • Brain metoda. Cluster, na kterΘm se nachßzφ dr∙hß Φßst viru je oznaΦen v tabulce FAT jako vadn² (pseudobad cluster).
  • Stoned metoda. P∙vodnφ boot sektor je odlo₧en na nepou₧φvan², Φi mßlo pou₧φvan² sektor. Na pevn²ch discφch je takov² sektor mezi MBR a boot sektorem. Na disketßch je to poslednφ sektor hlavnφho adresß°e (root sektor - root directory).

    Existujφ vÜak i viry, kterΘ p∙vodnφ boot sektor nikam neodklßdajφ a jednoduÜe ho p°epφÜou.
    TypickΘ schΘma Φinnosti jednoduchΘho boot viru vypadß nßsledovn∞:

  • Prvnφm krokem, kter²m zaΦφnß kariΘra takovΘho viru v poΦφtaΦi (a takΘ obΦas konΦφ kariΘra odpov∞dnΘho pracovnφka), je "nabootovßnφ" (tedy zavedenφ operaΦnφho systΘmu) z diskety naka₧enΘ boot virem. V tomto okam₧iku je vir zaveden do pam∞ti a je mu p°edßno °φzenφ. Nenφ p°itom nezbytnΘ, aby disketa byla systΘmovß; typick²m zdrojem takovΘto nßkazy b²vß disketa pro p°enos dat, kterß z∙stala omylem zamΦena v mechanice p°i startu poΦφtaΦe.
  • V dalÜφ fßzi si vir vyhlΘdne dostateΦn² velk² kus pam∞ti, kter² obsadφ a p°ekopφruje se do n∞j.
  • Aby se kopie viru vytvo°enß v p°edchozφm kroku dostala jeÜt∞ ke slovu, musφ vir nßsledn∞ zm∞nit adresy n∞kter²ch systΘmov²ch slu₧eb (typicky diskovΘ operace, n∞kdy takΘ ΦasovaΦ a jinΘ) tak, aby jejich vyvolßnφm doÜlo nejprve k aktivaci rezidentnφ Φßsti viru, kterß pak rozhodne, co se opravdu provede. Viry, kterΘ se takto usazujφ v pam∞ti, naz²vßme obecn∞ rezidentnφ. Proto₧e vÜak ka₧d² boot vir je rezidentnφ u₧ z principu, b²vß zvykem tuto vlastnost ji₧ explicitn∞ neuvßd∞t.
  • Nßsleduje kontrola, zda je naka₧en boot sektor pevnΘho disku, ze kterΘho se b∞₧n∞ zavßdφ systΘm. Pokud je tento sektor "vyruprost²", vir jej okam₧it∞ nakazφ.
  • Vir vyhledß na napadenΘ disket∞ p∙vodnφ boot sektor, kter² naΦte do pam∞ti, a spustφ jej. Od tΘto chvφle poΦφtaΦ pokraΦuje v b∞₧nΘm zavßd∞nφ systΘmu s tφm, ₧e vir je nadßle aktivnφ v pam∞ti p°ipraven zm∞nit b∞h v∞cφ p°φÜtφch.
  • Pokud je po zavedenφ systΘmu provedena jakßkoli operace p°istupujφcφ na disketu, je vir p°ed provedenφm tΘto operace aktivovßn (bod 3) a v p°φpad∞, ₧e tato disketa jeÜt∞ nenφ napadena, infikuje ji postupem anologick²m bodu 4.
  • Pokud jsou spln∞ny zadanΘ podmφnky, provede vir p°ipravenou akci (v²pis textu, formßtovßnφ disku apod.).

    Viry tΘto kategorie v podob∞, jak byly prßv∞ popsßny, jsou pom∞rn∞ zranitelnΘ. Jejich p°φtomnost je Φasto patrnß ze zmenÜenφ dostupnΘ operaΦnφ pam∞ti o velikost, kterou zabral vir (velikost pam∞ti lze zjistit nap°. programem CHKDSK). Pokud se vir neobt∞₧uje svΘ umφst∞nφ operaΦnφmu systΘmu ohlßsit (i takovΘ jsou), tak riskuje, ₧e bude p°epsßn n∞k²m jin²m a bude nßsledovat roztomil² pßd operaΦnφho systΘmu.

    Zdroj: AVP virus encyclopedia

    Zdroj: Praktickß sebeobrana proti vir∙m