Boot viry

Bootviry

Bootviry donedßvna p°edstavovaly nejΦast∞jÜφ typ infekce, se kter²m se u₧ivatel mohl setkat. A to i p°esto, ₧e jich je asi dvacetkrßt mΘn∞, ne₧ souborov²ch vir∙.

Za toto rozÜφ°enφ bootviry vd∞Φφ zejmΘna tomu, ₧e diskety jsou stßle jeÜt∞ mΘdiem hojn∞ mezi u₧ivateli vym∞≥ovan²m.

Mechanismus jejich Üφ°enφ je velmi jednoduch². Zφskßte disketu, jejφ₧ boot sektor je napaden virem. StaΦφ zapomenout tuto disketu v disketovΘ mechanice, oznaΦovanΘ jako A: p°i startu nebo resetu poΦφtaΦe.

Jak jsme si vysv∞tlili v textu, popisujφcφm start poΦφtaΦe, pokud startovacφ rutina nalezne p°i startu systΘmu v mechanice A: zalo₧enou disketu, pova₧uje ji za systΘmovou a pokusφ se provΘst start operaΦnφho systΘmu z nφ. V praxi tedy p°edß °φzenφ k≤du, ulo₧enΘmu v Boot sektoru tΘto diskety.

Virus zde ulo₧en² je tak aktivovßn a zahßjφ svoji Φinnost. Nejprve ov∞°φ, jestli u₧ pevn² disk poΦφtaΦe nenφ infikovßn a pokud ano, tak ukonΦφ svou Φinnost.

SkuteΦnost, ₧e disk jeÜt∞ nenφ napaden, pova₧uje virus za hrubou chybu a okam₧it∞ ji napravφ.

Vlastnφ infekce disku spoΦφvß nejΦast∞ji v tom, ₧e se virus zapφÜe do Partition tabulky pevnΘho disku (pro p°esnost û existujφ takΘ viry, kterΘ napadajφ Boot sektor pevnΘho disku, ale to pro naÜe vysv∞tlovßnφ nenφ podstatnΘ) a jejφ p∙vodnφ obsah odklidφ na n∞jakΘ "bezpeΦnΘ" mφsto.

- Partition tabulka - FAT tabulka - nevyu₧itΘ mφsto - odlo₧en² p∙vodnφ obsah Partition - virus - Root adresß° - soubor (nebo jeho Φßst)

Na uveden²ch obrßzcφch si prohlΘdn∞te zjednoduÜenΘ schΘma "ΦistΘho" disku (1) a schΘma r∙zn²ch mo₧nostφ jeho nßkazy (2,3,4). Za povÜimnutφ stojφ, ₧e v p°φpad∞ (3) je p°epsßna poslednφ Φßst prostoru ko°enovΘho adresß°e (pokud adresß° obsahuje mnoho soubor∙, je zniΦena informace o nßzvech a poloze Φßsti z nich), a ₧e v p°φpad∞ (4) je p°epsßna Φßst prostoru slou₧φcφho k ulo₧enφ vlastnφho obsahu soubor∙ (jeûli disk dostateΦn∞ zapln∞n, m∙₧e dojφt ke zniΦenφ Φßsti souboru).

Dφky tomu, ₧e virus napadl systΘmovou oblast pevnΘho disku, je nynφ p°i ka₧dΘm startu operaΦnφho systΘmu z infikovanΘho pevnΘho disku zaveden do pam∞ti - je zde rezidentn∞ umφst∞n a stßvß se aktivnφ. P°evezme kontrolu nejni₧Üφ ·rovn∞ diskov²ch slu₧eb operaΦnφho systΘmu a teprve potΘ spustφ sprßvn² zavßd∞cφ k≤d (mß jej p°ece bezpeΦn∞ odlo₧en²). Na prvnφ pohled se tedy poΦφtaΦ chovß p°esn∞ tak, jak by m∞l. Äe jeho start trvß o pßr zlomk∙ vte°iny dΘle, si nikdo ani nevÜimne.

P°i normßlnφ prßci poΦφtaΦe si takov² bootvirus v klidu "sedφ" v pam∞ti. Dφky svΘ kontrole diskov²ch slu₧eb v podstat∞ bezpracn∞ monitoruje vÜechny po₧adavky na diskovΘ operace û mezi nimi i operace s disketou. Jakmile zachytφ po₧adavek na prßci s disketou, dozvφ se, ₧e do mechaniky byla vlo₧ena disketa. StaΦφ si pouze prohlΘdnout jejφ Boot sektor, zda ji₧ obsahuje k≤d naÜeho viru. Pokud ne, postaΦφ do n∞j vepsat vÜe pot°ebnΘ. Od tohoto okam₧iku je takovß disketa napadena virem û stßvß se mΘdiem, s jeho₧ pomocφ se virus p°enßÜφ na jinΘ poΦφtaΦe.

Stealth technika

ZvlßÜtnφm po₧adavkem, kter² virus monitoruje, je pokus o Φtenφ Partititon tabulky pevnΘho disku. Jak vφme, Partition tabulka p°ece obsahuje virov² k≤d a po₧adavek na Φtenφ mohl b²t vydßn antivirov²m programem, kter² prßv∞ kontroluje Φistotu poΦφtaΦe.

Virus tedy na po₧adavek Φtenφ nevrßtφ skuteΦn² obsah Partition tabulky, ale p∙vodnφ obsah tak, jak vypadal p°ed nßkazou (mß jej bezpeΦn∞ odlo₧en).

Pokud se skuteΦn∞ jednalo o antivirov² program, ten nezjistφ na naΦten²ch datech nic zßvadnΘho. Tomuto postupu °φkßme stealth technika (neviditelnost) a jeho hlavnφm cφlem je zamaskovat p°φtomnost viru p°ed antivirov²m programem. Stealth technika nenφ b∞₧n²m jevem u vÜech bootvir∙, p°esto se s nφ vÜak setkßvßme u velkΘho poΦtu souΦasn²ch vir∙.