וירוס מגזר האתחול הוא סוג מסוים של וירוס הנקרא על שם המיקום בו ניתן למצוא. זה יהיה מגזר האתחול של תקליטונים או רשומת האתחול הראשית של דיסקים קשיחים מודרניים יותר. במקרים מסוימים, הם יכולים להדביק את סקטור האתחול של הדיסקים הקשיחים האמורים במקום ה-MBR.
הקוד שמרכיב את הווירוס פועל כאשר כל מה שנמצא בדיסק או בכונן מופעל. במילים אחרות, אם המשתמש מנסה לחבר ולהשתמש בדיסק קשיח נגוע, הוא מפעיל את הווירוס. לאחר הטעינה, כמעט כל הווירוסים הללו יעתיקו את עצמם לדיסקים וכוננים זמינים ותואמים אחרים, כך שאם למחשב הוכנסו ארבעה תקליטונים נקיים, ואחד נגוע חמישי נוסף והשתמש בו, סביר להניח שכל החמישה יסתיימו נגוע.
מה עושים וירוסים במגזר האתחול?
בגלל הדרך והמיקום שבו הם ממוקמים, וירוסי סקטור האתחול יתבצעו בסופו של דבר כשהמכשיר שהם נמצאים עליו מופעל או מחובר ומופעל. הם זיהומים ברמת ה-BIOS, כלומר הם אינם דורשים אינטראקציה מסוימת עם המשתמש (כמו פתיחת דוא"ל או לחיצה על קישור אתר מפוקפק) להשפיע על מערכת.
החיסרון הוא שהם מסתמכים על פקודות DOS כדי להפיץ. לא נעשה שימוש ב-DOS מאז שחרורו של Windows 95, ואז השימוש בוירוסי סקטור האתחול ירד במהירות מכיוון שהם כבר לא עבדו. וירוסי סקטור האתחול המקוריים יהיו בלתי מזיקים לחלוטין במחשב מודרני שאינו משתמש/מבין פקודות DOS - עם זאת, סוג הווירוס נמשך בגרסה חדשה.
וירוסים מודרניים של מגזר האתחול
המקבילה המודרנית נקראת לעתים קרובות "bootkit", אשר כותבת את עצמה לתוך MBR או Master Boot Record. בדרך זו, הם משיגים את אותו אפקט של השקה בשלב מוקדם בתהליך האתחול. זה מאפשר להם להסתיר גם את הנוכחות שלהם וגם את מה שהם עושים מאחורי תהליכים אחרים - ושוב, לא דורש שום אינטראקציה של משתמש מלבד אתחול המחשב.
ערכות האתחול אינן תואמות מדיה נשלפת - במילים אחרות, בעוד שווירוסי סקטור האתחול המקוריים שגשגו על תקליטונים, ערכות האתחול לא פועלות כך. הם לא יכלו, למשל, להדביק מקל USB - למרות שניתן לאחסן ולהעביר אותם באחד, הם לא היו מופעלים. וירוסים אחרים יכולים להפעיל ממדיה נשלפת, כגון כונני אצבע, אבל אתחול לא יכול.
איך נראה וירוס מגזר האתחול?
כמו כל וירוס, איך הוא נראה תלוי גם במי שיצר אותו וגם באיזו מטרה הוא נועד להשיג. סקטור אתחול תמיד חייב להיות 0x55 ו-0xAA בתור שני הבייטים האחרונים של נתונים, בהתאמה. בלעדיהם שם, המחשב יסרב לאתחל לחלוטין או לפחות יציג הודעת שגיאה. הודעת שגיאה זו - או סירוב לאתחל - יכולה להיות אחד ממספר אינדיקטורים של וירוס סקטור האתחול, אם כי היא לא נותנת רמז מסוים לגבי מה שהנגיף עשוי לעשות.
כיצד לזהות וירוס מגזר האתחול
ניתן לזהות וירוס מגזר האתחול בשתי דרכים שונות. ראשית, על ידי מעשיו. וירוס מגזר האתחול מדביק את החלק של מדיית האחסון שנטען על ידי ה-BIOS בעת האתחול. זה גם מדביק באופן פעיל את כל אמצעי האחסון האחרים המחוברים למחשב הנגוע. כדאי לזכור כי ערכות האתחול המודרניות פועלות באופן מעט שונה ואינן מדביקות מכשירים אוטומטית. הדרך האחרת לזהות וירוס מגזר האתחול היא באמצעות תוכנת אנטי וירוס.
הערה: וירוסי מגזר האתחול הם למעשה מיושנים, תוך הסתמכות על טכנולוגיה מתקופת DOS. סביר להניח שמערכות הפעלה אלו רואות שימוש מינימלי, במיוחד מערכות מדור קודם. מציאת מוצר אנטי וירוס שיכול לפעול על מערכת הפעלה כזו יהיה מאתגר כעת. בנוסף, למרות שסביר להניח שאף אחד לא טרח ליצור וירוסים חדשים של סקטור האתחול, אם היו חדשים שוחררו, ייתכן שהם לא יהיו מסווגים כראוי לזיהוי אם תמצא תוכנית אנטי-וירוס לָרוּץ.
כיצד להיפטר מווירוס מגזר האתחול
מוצר אנטי וירוס אמור להיות מסוגל להיפטר מווירוס סקטור האתחול במהירות יחסית. עם זאת, זה מניח שאתה יכול למצוא מוצר אנטי-וירוס שעובד על מערכת כה מיושנת ושהוא יכול לזהות את הווירוס. ערכות אתחול מודרניות יותר יכולות להיות קשות מאוד לזיהוי והסרה מכיוון שהן מדביקות אזורי זיכרון מוגבלים בדרך כלל. ניתן להביס את שניהם על ידי פירמוט מחדש של הכונן לחלוטין. תהליך זה, לעומת זאת, מגבש את כל נתונים על הכונן ולכן זה לא אידיאלי.
תיאורטית זה גם אפשרי שה-bootkit ידביק את לוח האם עצמו, במיוחד את UEFI BIOS. במקרה זה, חידוש לוח האם אמור לפתור את הבעיה, אך ייתכן שלא אם הנגיף נמשך במקום אחר. במיוחד אם הנגיף יכול להדביק מחדש את התמונה שאליה הובזיק לוח האם. הדרך הבטוחה ב-100% לחסל כל וירוס היא לזרוק את הרכיב הנגוע. זה הכונן הקשיח שלך, לוח האם וכו', לא בהכרח כל המחשב.
סיכום
וירוס מגזר האתחול הוא סוג קלאסי מתקופת ה-DOS. הם הדביקו את מגזר האתחול של מדיית האחסון והדביקו באופן פעיל את מגזר האתחול של כל מדיית אחסון זמינה אחרת. מגזר האתחול היה החלק של התקן האחסון שנטען ראשון על ידי ה-BIOS. ככזה, התוכנה הזדונית הושקה מיד.
מכיוון שהם הסתמכו על פקודות ה-BIOS וה-DOS, הם גוועו כאשר Windows הוצג. גרסה מודרנית ידועה כ-bootkit. הוא פועל באופן דומה, מדביק את מטעין האתחול שקורא למערכת ההפעלה. זה מקשה מאוד על זיהוי או הסרה, מכיוון שאמצעי אבטחה מודרניים מגנים על טוען האתחול מגישה קלה.