Boot viry

Bootviry

Bootviry donedávna představovaly nejčastější typ infekce, se kterým se uživatel mohl setkat. A to i přesto, že jich je asi dvacetkrát méně, než souborových virů.

Za toto rozšíření bootviry vděčí zejména tomu, že diskety jsou stále ještě médiem hojně mezi uživateli vyměňovaným.

Mechanismus jejich šíření je velmi jednoduchý. Získáte disketu, jejíž boot sektor je napaden virem. Stačí zapomenout tuto disketu v disketové mechanice, označované jako A: při startu nebo resetu počítače.

Jak jsme si vysvětlili v textu, popisujícím start počítače, pokud startovací rutina nalezne při startu systému v mechanice A: založenou disketu, považuje ji za systémovou a pokusí se provést start operačního systému z ní. V praxi tedy předá řízení kódu, uloženému v Boot sektoru této diskety.

Virus zde uložený je tak aktivován a zahájí svoji činnost. Nejprve ověří, jestli už pevný disk počítače není infikován a pokud ano, tak ukončí svou činnost.

Skutečnost, že disk ještě není napaden, považuje virus za hrubou chybu a okamžitě ji napraví.

Vlastní infekce disku spočívá nejčastěji v tom, že se virus zapíše do Partition tabulky pevného disku (pro přesnost – existují také viry, které napadají Boot sektor pevného disku, ale to pro naše vysvětlování není podstatné) a její původní obsah odklidí na nějaké "bezpečné" místo.

- Partition tabulka - FAT tabulka - nevyužité místo - odložený původní obsah Partition - virus - Root adresář - soubor (nebo jeho část)

Na uvedených obrázcích si prohlédněte zjednodušené schéma "čistého" disku (1) a schéma různých možností jeho nákazy (2,3,4). Za povšimnutí stojí, že v případě (3) je přepsána poslední část prostoru kořenového adresáře (pokud adresář obsahuje mnoho souborů, je zničena informace o názvech a poloze části z nich), a že v případě (4) je přepsána část prostoru sloužícího k uložení vlastního obsahu souborů (je–li disk dostatečně zaplněn, může dojít ke zničení části souboru).

Díky tomu, že virus napadl systémovou oblast pevného disku, je nyní při každém startu operačního systému z infikovaného pevného disku zaveden do paměti - je zde rezidentně umístěn a stává se aktivní. Převezme kontrolu nejnižší úrovně diskových služeb operačního systému a teprve poté spustí správný zaváděcí kód (má jej přece bezpečně odložený). Na první pohled se tedy počítač chová přesně tak, jak by měl. Že jeho start trvá o pár zlomků vteřiny déle, si nikdo ani nevšimne.

Při normální práci počítače si takový bootvirus v klidu "sedí" v paměti. Díky své kontrole diskových služeb v podstatě bezpracně monitoruje všechny požadavky na diskové operace – mezi nimi i operace s disketou. Jakmile zachytí požadavek na práci s disketou, dozví se, že do mechaniky byla vložena disketa. Stačí si pouze prohlédnout její Boot sektor, zda již obsahuje kód našeho viru. Pokud ne, postačí do něj vepsat vše potřebné. Od tohoto okamžiku je taková disketa napadena virem – stává se médiem, s jehož pomocí se virus přenáší na jiné počítače.

Stealth technika

Zvláštním požadavkem, který virus monitoruje, je pokus o čtení Partititon tabulky pevného disku. Jak víme, Partition tabulka přece obsahuje virový kód a požadavek na čtení mohl být vydán antivirovým programem, který právě kontroluje čistotu počítače.

Virus tedy na požadavek čtení nevrátí skutečný obsah Partition tabulky, ale původní obsah tak, jak vypadal před nákazou (má jej bezpečně odložen).

Pokud se skutečně jednalo o antivirový program, ten nezjistí na načtených datech nic závadného. Tomuto postupu říkáme stealth technika (neviditelnost) a jeho hlavním cílem je zamaskovat přítomnost viru před antivirovým programem. Stealth technika není běžným jevem u všech bootvirů, přesto se s ní však setkáváme u velkého počtu současných virů.