Che cos'è un virus del settore di avvio?

Un virus del settore di avvio è un particolare tipo di virus che prende il nome dalla posizione in cui può essere trovato. Sarebbe il settore di avvio dei floppy disk o il Master Boot Record dei dischi rigidi più moderni. In alcuni casi, possono infettare il settore di avvio di detti dischi rigidi anziché l'MBR.

Il codice che costituisce il virus viene eseguito quando viene avviato qualsiasi cosa si trovi sul disco o sull'unità. In altre parole, se l'utente tenta di collegarsi e utilizzare un disco rigido infetto, esegue il virus. Una volta caricati, quasi tutti questi virus si copieranno su altri dischi e unità disponibili e compatibili, quindi se a computer aveva quattro dischetti puliti inseriti e un quinto infetto è stato aggiunto e utilizzato, probabilmente tutti e cinque sarebbero finiti infetto.

Cosa fanno i virus del settore di avvio?

A causa del modo e della posizione in cui vengono inseriti, i virus del settore di avvio finiscono per essere eseguiti quando il dispositivo su cui si trovano viene avviato o collegato e acceso. Sono infezioni a livello di BIOS, il che significa che non richiedono alcuna particolare interazione da parte dell'utente (

come aprire un'e-mail o fare clic su un collegamento a un sito Web poco sicuro) per influenzare un sistema.

Lo svantaggio è che si basano sui comandi DOS per diffondersi. DOS non è stato utilizzato dal rilascio di Windows 95, momento in cui l'uso dei virus del settore di avvio è rapidamente diminuito poiché non funzionavano più. I virus del settore di avvio originale sarebbero del tutto innocui in un computer moderno che non utilizza/comprende i comandi DOS, tuttavia, il tipo di virus persiste in una nuova variante.

Virus moderni del settore di avvio

L'equivalente moderno è spesso chiamato "bootkit", che si scrive nell'MBR o nel Master Boot Record. In questo modo, ottengono lo stesso effetto dell'avvio all'inizio del processo di avvio. Ciò consente loro di nascondere sia la loro presenza che ciò che stanno facendo dietro altri processi e, ancora una volta, non richiede alcuna interazione da parte dell'utente se non l'avvio della macchina.

I bootkit non sono compatibili con i supporti rimovibili, in altre parole, mentre i virus originali del settore di avvio prosperavano sui floppy disk, i bootkit non funzionano così. Non potrebbero, ad esempio, infettare una chiavetta USB: sebbene possano essere archiviati e trasferiti su di essa, non si attiverebbero. Altri virus possono essere eseguiti da supporti rimovibili, come le chiavette USB, ma i bootkit no.

Che aspetto ha un virus del settore di avvio?

Come con qualsiasi virus, l'aspetto che ha dipende sia da chi l'ha creato sia dallo scopo che intende raggiungere. Un settore di avvio deve sempre avere rispettivamente 0x55 e 0xAA come ultimi due byte di dati. Senza di loro, il computer si rifiuterà di avviarsi completamente o almeno mostrerà un messaggio di errore. Questo messaggio di errore, o un rifiuto di avvio, può essere uno dei numerosi indicatori di un virus del settore di avvio, sebbene non dia alcun indizio particolare su cosa potrebbe fare il virus.

Come identificare un virus del settore di avvio

Un virus del settore di avvio può essere identificato in due modi diversi. In primo luogo, dalle sue azioni. Un virus del settore di avvio infetta la parte del supporto di archiviazione caricato dal BIOS durante l'avvio. Inoltre, infetta attivamente tutti gli altri supporti di memorizzazione collegati al computer infetto. Vale la pena ricordare che i moderni bootkit funzionano in modo leggermente diverso e non infettano automaticamente i dispositivi. L'altro modo per identificare un virus del settore di avvio è con il software antivirus.

Nota: I virus del settore di avvio sono essenzialmente obsoleti e si basano sulla tecnologia dell'era DOS. Questi sistemi operativi probabilmente vedono un uso minimo, in particolare i sistemi legacy. Trovare un prodotto antivirus in grado di funzionare su un tale sistema operativo sarebbe una sfida ora. Inoltre, mentre è probabile che nessuno si sia preso la briga di creare nuovi virus del settore di avvio, se ce ne sono di nuovi sono stati rilasciati, potrebbero non essere adeguatamente classificati per essere rilevati se trovi un programma antivirus per correre.

Come sbarazzarsi di un virus del settore di avvio

Un prodotto antivirus dovrebbe essere in grado di sbarazzarsi di un virus del settore di avvio in tempi relativamente brevi. Ciò presuppone, tuttavia, che sia possibile trovare un prodotto antivirus che funzioni su un sistema così obsoleto e che sia in grado di rilevare il virus. I bootkit più moderni possono essere estremamente difficili da rilevare e rimuovere poiché infettano aree di memoria tipicamente limitate. Entrambi possono essere sconfitti riformattando completamente l'unità. Questo processo, tuttavia, cancella Tutto dati sull'unità e quindi non è l'ideale.

È anche teoricamente possibile che il bootkit infetti la scheda madre stessa, in particolare il BIOS UEFI. In questo caso, il reflash della scheda madre dovrebbe risolvere il problema, ma potrebbe non esserlo se il virus persiste altrove. Soprattutto se il virus potrebbe reinfettare l'immagine a cui è stata trasmessa la scheda madre. Il modo sicuro al 100% per eliminare qualsiasi virus è buttare via il componente infetto. Questo è il tuo disco rigido, la scheda madre, ecc., Non necessariamente l'intero computer.

Conclusione

Un virus del settore di avvio è un tipo classico dell'era DOS. Hanno infettato il settore di avvio dei supporti di archiviazione e infettato attivamente il settore di avvio di qualsiasi altro supporto di archiviazione disponibile. Il settore di avvio era la parte del dispositivo di archiviazione caricata per prima dal BIOS. Pertanto, il malware è stato immediatamente lanciato.

Poiché si basavano sui comandi BIOS e DOS, si estinsero quando fu introdotto Windows. Una versione moderna è nota come bootkit. Agisce in modo simile, infettando il boot loader che chiama il sistema operativo. Ciò rende molto difficile il rilevamento o la rimozione, poiché le moderne misure di sicurezza proteggono il bootloader da un facile accesso.