Virus sektora za pokretanje posebna je vrsta virusa nazvana prema mjestu na kojem se može pronaći. To bi bio boot sektor disketa ili Master Boot Record modernijih tvrdih diskova. U nekim slučajevima mogu zaraziti boot sektor navedenih tvrdih diskova umjesto MBR-a.
Kod koji čini virus pokreće se kada se pokrene bilo što što se nalazi na disku ili pogonu. Drugim riječima, ako korisnik pokuša uključiti i koristiti zaraženi tvrdi disk, on će pokrenuti virus. Nakon učitavanja, gotovo svi ovi virusi kopirat će se na druge dostupne i kompatibilne diskove i pogone, pa ako računalo je imalo četiri čiste diskete umetnute, a peta zaražena je dodana i korištena, svih pet bi vjerojatno završilo zaražen.
Što rade virusi sektora za pokretanje?
Zbog načina i mjesta na kojem su postavljeni, virusi sektora za pokretanje završavaju s pokretanjem kada se uređaj na kojem se nalaze pokrene ili uključi i uključi. To su infekcije na razini BIOS-a, što znači da ne zahtijevaju nikakvu posebnu interakciju korisnika (kao što je otvaranje e-pošte ili klik na vezu sumnjive web stranice) utjecati na sustav.
Loša strana je što se za širenje oslanjaju na DOS naredbe. DOS se nije koristio od izdanja Windowsa 95, a tada je upotreba virusa sektora za pokretanje naglo opala jer više nisu radili. Izvorni virusi sektora za pokretanje bili bi potpuno bezopasni u modernom računalu koje ne koristi/razumije DOS naredbe – međutim, vrsta virusa postoji u novoj varijanti.
Moderni virusi sektora za pokretanje sustava
Suvremeni ekvivalent se često naziva "bootkit", koji se upisuje u MBR ili Master Boot Record. Na taj način postižu isti učinak pokretanja rano u procesu pokretanja. To im omogućuje da sakriju i svoju prisutnost i ono što rade iza drugih procesa – i, opet, ne zahtijeva nikakvu interakciju korisnika osim pokretanja stroja.
Bootkitovi nisu kompatibilni s prijenosnim medijima – drugim riječima, dok su izvorni virusi sektora za pokretanje bujali na disketama, bootkitovi ne rade tako. Ne bi mogli, primjerice, zaraziti USB stick – iako se mogu pohraniti i prenijeti na jedan, ne bi se aktivirali. Drugi virusi mogu se pokrenuti s prijenosnih medija, kao što su flash pogoni, ali bootkiti ne mogu.
Kako izgleda virus Boot Sector?
Kao i kod svakog virusa, kako izgleda ovisi o tome tko ga je stvorio i svrhu koju treba postići. Sektor za pokretanje uvijek mora imati 0x55 i 0xAA kao zadnja dva bajta podataka. Bez njih, računalo će se ili potpuno odbiti pokrenuti ili će barem pokazati poruku o pogrešci. Ova poruka o pogrešci – ili odbijanje pokretanja – može biti jedan od nekoliko pokazatelja virusa sektora za pokretanje, iako ne daje nikakav poseban trag o tome što bi virus mogao raditi.
Kako prepoznati virus Boot Sector
Virus sektora za pokretanje može se identificirati na dva različita načina. Prije svega svojim djelovanjem. Virus sektora za pokretanje inficira dio medija za pohranu koji učitava BIOS prilikom pokretanja sustava. Također aktivno inficira sve ostale medije za pohranu spojene na zaraženo računalo. Vrijedno je zapamtiti da moderni bootkitovi rade malo drugačije i ne inficiraju automatski uređaje. Drugi način prepoznavanja virusa u sektoru za pokretanje je antivirusni softver.
Bilješka: Virusi sektora za pokretanje su u biti zastarjeli, oslanjaju se na tehnologiju iz DOS-ere. Ovi operativni sustavi vjerojatno će se minimalno koristiti, osobito naslijeđeni sustavi. Sada bi bilo teško pronaći antivirusni proizvod koji može raditi na takvom operativnom sustavu. Osim toga, iako je vjerojatno da se nitko nije potrudio napraviti nove viruse boot sektora ako ima novih objavljeni, možda neće biti adekvatno kategorizirani da bi bili otkriveni ako pronađete antivirusni program za trčanje.
Kako se riješiti virusa Boot Sector
Antivirusni proizvod trebao bi se moći riješiti virusa boot sektora relativno brzo. Ovo međutim pretpostavlja da možete pronaći antivirusni proizvod koji radi na tako zastarjelom sustavu i da može otkriti virus. Modernije bootkite može biti izuzetno teško otkriti i ukloniti jer zaraze područja memorije koja su obično ograničena. Oboje se može riješiti potpunim ponovnim formatiranjem pogona. Ovaj proces, međutim, briše svi podataka na disku i stoga nije idealno.
Također je teoretski moguće da bootkit zarazi samu matičnu ploču, posebno UEFI BIOS. U ovom slučaju, ponovno fleširanje matične ploče trebalo bi riješiti problem, ali možda i neće ako virus postoji negdje drugdje. Pogotovo ako bi virus mogao ponovno zaraziti sliku na koju je matična ploča flashirana. 100% siguran način za uklanjanje bilo kojeg virusa je bacanje zaražene komponente. To je vaš tvrdi disk, matična ploča itd., ne nužno cijelo računalo.
Zaključak
Virus boot sektora klasična je vrsta iz DOS ere. Zarazili su boot sektor medija za pohranu i aktivno zarazili boot sektor bilo kojeg drugog dostupnog medija za pohranu. Sektor za pokretanje bio je dio uređaja za pohranu koji je prvi učitao BIOS. Kao takav, malware je odmah pokrenut.
Budući da su se oslanjali na BIOS i DOS naredbe, izumrli su kada je predstavljen Windows. Moderna verzija poznata je kao bootkit. Djeluje slično, zarazivši boot loader koji poziva operativni sustav. Zbog toga ga je vrlo teško otkriti ili ukloniti jer moderne sigurnosne mjere štite bootloader od lakog pristupa.