A rendszerindító szektor vírusa egy bizonyos fajta vírus, amelyet a megtalálási helyről neveztek el. Ez lenne a hajlékonylemezek rendszerindító szektora vagy a modernebb merevlemezek Master Boot Recordja. Bizonyos esetekben az MBR helyett az említett merevlemezek rendszerindító szektorát fertőzhetik meg.
A vírust alkotó kód akkor fut le, amikor a lemezen vagy a meghajtón lévő tartalma elindul. Más szóval, ha a felhasználó megpróbál csatlakoztatni és használni egy fertőzött merevlemezt, akkor végrehajtja a vírust. A betöltés után szinte az összes vírus átmásolja magát más elérhető és kompatibilis lemezekre és meghajtókra, így ha a számítógépbe négy tiszta hajlékonylemez volt behelyezve, és egy ötödik fertőzöttet is hozzáadtak és használtak, valószínűleg mind az öt fertőzött.
Mit csinálnak a rendszerindítási szektor vírusai?
Elhelyezésük módja és helye miatt a rendszerindító szektor vírusai akkor futnak le, amikor a rajtuk lévő eszközt elindítják vagy csatlakoztatják és bekapcsolják. Ezek BIOS-szintű fertőzések, vagyis nem igényelnek különösebb felhasználói beavatkozást (
Hátránya, hogy a DOS parancsokra hagyatkoznak a terjedéshez. A DOS-t a Windows 95 megjelenése óta nem használták, ekkor a rendszerindító szektor vírusainak használata gyorsan csökkent, mivel már nem működtek. Az eredeti rendszerindító szektor vírusai teljesen ártalmatlanok lennének egy modern számítógépben, amely nem használja/érti a DOS parancsokat – azonban a vírus típusa megmarad egy új változatban.
Modern Boot Sector vírusok
A modern megfelelőjét gyakran „bootkit”-nek nevezik, amely beírja magát az MBR-be vagy a Master Boot Recordba. Így ugyanazt a hatást érik el, mintha a rendszerindítási folyamat korai szakaszában elindulnának. Ez lehetővé teszi számukra, hogy mind a jelenlétüket, mind pedig azt, amit csinálnak, elrejtsenek más folyamatok mögé – és ismét nincs szükség felhasználói beavatkozásra, csak a gép indítására.
A rendszerindítókészletek nem kompatibilisek a cserélhető adathordozókkal – más szóval, míg az eredeti rendszerindító szektor vírusai hajlékonylemezeken virágoztak, a bootkitek nem így működnek. Nem tudtak például megfertőzni egy USB-meghajtót – bár tárolhatók és átvihetők egyen, nem aktiválódnának. Más vírusok futtathatók cserélhető adathordozóról, például pendrive-ról, de a bootkit nem.
Hogyan néz ki a rendszerindító szektor vírusa?
Mint minden vírus esetében, ez is attól függ, hogy ki hozta létre, és milyen célt szolgál. A rendszerindító szektorban mindig 0x55 és 0xAA kell lennie az utolsó két adatbájtnak. Ezek nélkül a számítógép vagy megtagadja a teljes rendszerindítást, vagy legalább hibaüzenetet jelenít meg. Ez a hibaüzenet – vagy a rendszerindítás megtagadása – a rendszerindító szektor vírusának egyik jelzője lehet, bár nem ad különösebb támpontot arra vonatkozóan, hogy a vírus mit csinálhat.
Hogyan lehet azonosítani a rendszerindítási szektor vírusát
A rendszerindító szektor vírusa két különböző módon azonosítható. Először is a tettei alapján. A rendszerindító szektor vírusa megfertőzi az adathordozónak azt a részét, amelyet a BIOS tölt be rendszerindításkor. Aktívan megfertőzi a fertőzött számítógéphez csatlakoztatott összes többi adathordozót is. Érdemes megjegyezni, hogy a modern indítókészletek kissé eltérően működnek, és nem fertőzik meg automatikusan az eszközöket. A másik módszer a rendszerindító szektor vírusának azonosítására az antivírus szoftver.
Jegyzet: A rendszerindító szektor vírusai lényegében elavultak, a DOS-korszak technológiájára támaszkodnak. Ezeket az operációs rendszereket valószínűleg minimálisan használják, különösen a régi rendszereket. Most kihívást jelentene egy ilyen operációs rendszeren futtatható víruskereső termék megtalálása. Ezen túlmenően, bár valószínű, hogy senki sem foglalkozott azzal, hogy új rendszerindító szektor vírusokat készítsen, ha vannak újak kiadták, előfordulhat, hogy nincsenek megfelelően kategorizálva az észleléshez, ha talál egy víruskereső programot fuss.
Hogyan lehet megszabadulni a Boot Sector vírusától
Egy víruskereső terméknek képesnek kell lennie arra, hogy viszonylag gyorsan megszabaduljon a rendszerindító szektor vírusától. Ez azonban feltételezi, hogy talál olyan víruskereső terméket, amely ilyen elavult rendszeren működik, és képes észlelni a vírust. A modernebb indítókészleteket rendkívül nehéz észlelni és eltávolítani, mivel általában korlátozott memóriaterületeket fertőznek meg. Mindkettő legyőzhető a meghajtó teljes újraformázásával. Ez a folyamat azonban törli minden adatok a meghajtón, ezért nem ideális.
Elméletileg az is lehetséges, hogy a bootkit magát az alaplapot, különösen az UEFI BIOS-t megfertőzi. Ebben az esetben az alaplap újratöltése megoldja a problémát, de lehet, hogy nem, ha a vírus máshol is jelen van. Főleg, ha a vírus újra megfertőzheti azt a képet, amelyre az alaplapot flashelték. A vírusok eltávolításának 100%-ban biztos módja a fertőzött komponens kidobása. Ez a merevlemez, az alaplap stb., nem feltétlenül az egész számítógép.
Következtetés
A rendszerindító szektor vírusa a DOS-korszak klasszikus típusa. Megfertőzték az adathordozók rendszerindító szektorát, és aktívan megfertőzték minden más elérhető adathordozó rendszerindító szektorát. A rendszerindító szektor a tárolóeszköz azon része volt, amelyet a BIOS először betöltött. Így a kártevő azonnal elindult.
Mivel a BIOS- és a DOS-parancsokra hagyatkoztak, a Windows bevezetésekor kihaltak. A modern változat bootkit néven ismert. Hasonlóan jár el, megfertőzve az operációs rendszert hívó rendszertöltőt. Ez nagyon megnehezíti az észlelést vagy eltávolítást, mivel a modern biztonsági intézkedések megvédik a rendszertöltőt a könnyű hozzáféréstől.