რა არის ჩატვირთვის სექტორის ვირუსი?

MiscellaneaApr 08, 2023

ჩატვირთვის სექტორის ვირუსი არის ვირუსის კონკრეტული სახეობა, რომელსაც დაარქვეს მისი პოვნა. ეს იქნება ფლოპი დისკების ჩატვირთვის სექტორი ან უფრო თანამედროვე მყარი დისკების ძირითადი ჩატვირთვის ჩანაწერი. ზოგიერთ შემთხვევაში, მათ შეუძლიათ MBR-ის ნაცვლად აღნიშნული მყარი დისკის ჩატვირთვის სექტორის დაინფიცირება.

კოდი, რომელიც ქმნის ვირუსს, გადის მაშინ, როდესაც ყველაფერი რაც დისკზე ან დისკზეა ჩატვირთული. სხვა სიტყვებით რომ ვთქვათ, თუ მომხმარებელი ცდილობს შეერთოს და გამოიყენოს ინფიცირებული მყარი დისკი, ისინი ახორციელებენ ვირუსს. ჩატვირთვის შემდეგ, თითქმის ყველა ეს ვირუსი კოპირდება სხვა ხელმისაწვდომ და თავსებად დისკებსა და დისკებზე, ასე რომ, თუ კომპიუტერს ჰქონდა ჩასმული ოთხი სუფთა ფლოპი დისკი და მეხუთე ინფიცირებული დაემატა და გამოიყენებოდა, ხუთივე სავარაუდოდ დასრულდებოდა ინფიცირებული.

რას აკეთებენ ჩატვირთვის სექტორის ვირუსები?

მათი მოთავსების გზისა და მდებარეობის გამო, ჩატვირთვის სექტორის ვირუსები სრულდება, როდესაც მოწყობილობა ჩატვირთულია ან ჩართულია და ჩართულია. ისინი BIOS-ის დონის ინფექციებია, რაც იმას ნიშნავს, რომ მათ არ სჭირდებათ რაიმე კონკრეტული მომხმარებლის ურთიერთქმედება (

როგორიცაა ელ.ფოსტის გახსნა ან ვებსაიტის საეჭვო ბმულზე დაწკაპუნება) სისტემაზე ზემოქმედება.

მინუსი არის ის, რომ ისინი ეყრდნობიან DOS ბრძანებებს გავრცელებისთვის. DOS არ იყო გამოყენებული Windows 95-ის გამოსვლის შემდეგ, რა დროსაც ჩატვირთვის სექტორის ვირუსების გამოყენება სწრაფად შემცირდა, რადგან ისინი აღარ მუშაობდნენ. ორიგინალური ჩატვირთვის სექტორის ვირუსები სრულიად უვნებელია თანამედროვე კომპიუტერში, რომელიც არ იყენებს/ესმის DOS ბრძანებებს – თუმცა, ვირუსის ტიპი შენარჩუნებულია ახალ ვარიანტში.

თანამედროვე ჩატვირთვის სექტორის ვირუსები

თანამედროვე ეკვივალენტს ხშირად უწოდებენ "ბუტკიტს", რომელიც იწერება MBR ან Master Boot Record-ში. ამ გზით, ისინი მიაღწევენ იგივე ეფექტს, რაც ადრეულ ეტაპზეა ჩატვირთვის პროცესში. ეს საშუალებას აძლევს მათ დამალონ როგორც მათი ყოფნა, ასევე ის, რასაც აკეთებენ სხვა პროცესების მიღმა – და, ისევ, არ საჭიროებს მომხმარებლის ურთიერთქმედებას, გარდა აპარატის ჩატვირთვისა.

Bootkits არ არის თავსებადი მოსახსნელ მედიასთან - სხვა სიტყვებით რომ ვთქვათ, სანამ ორიგინალური ჩატვირთვის სექტორის ვირუსები მრავლდებოდა ფლოპი დისკებზე, bootkits ასე არ მუშაობს. მათ არ შეეძლოთ, მაგალითად, USB დისკის დაინფიცირება - თუმცა მათი შენახვა და გადატანა შესაძლებელია ერთზე, ისინი არ გააქტიურდებიან. სხვა ვირუსებს შეუძლიათ შეასრულონ მოსახსნელი მედიიდან, როგორიცაა ცერის დრაივერი, მაგრამ bootkits არ შეიძლება.

რას ჰგავს ჩატვირთვის სექტორის ვირუსი?

როგორც ნებისმიერი ვირუსის შემთხვევაში, მისი გარეგნობა დამოკიდებულია იმაზე, თუ ვინ შექმნა იგი და რა მიზნის მიღწევაა გამიზნული. ჩატვირთვის სექტორს ყოველთვის უნდა ჰქონდეს 0x55 და 0xAA, როგორც მონაცემების ბოლო ორი ბაიტი, შესაბამისად. მათ გარეშე, კომპიუტერი ან უარს იტყვის მთლიანად ჩატვირთვაზე, ან მინიმუმ აჩვენებს შეცდომის შეტყობინებას. შეცდომის ეს შეტყობინება - ან ჩატვირთვაზე უარის თქმა - შეიძლება იყოს ჩატვირთვის სექტორის ვირუსის რამდენიმე ინდიკატორი, თუმცა ის არ იძლევა რაიმე კონკრეტულ წარმოდგენას იმის შესახებ, თუ რას შეიძლება აკეთებდეს ვირუსი.

როგორ ამოვიცნოთ ჩატვირთვის სექტორის ვირუსი

ჩატვირთვის სექტორის ვირუსის იდენტიფიცირება შესაძლებელია ორი განსხვავებული გზით. პირველ რიგში, მისი ქმედებებით. ჩატვირთვის სექტორის ვირუსი აინფიცირებს საცავის მედიის ნაწილს, რომელიც დატვირთულია BIOS-ის მიერ ჩატვირთვისას. ის ასევე აქტიურად აინფიცირებს ინფიცირებულ კომპიუტერზე მიმაგრებულ ყველა სხვა საცავის მედიას. უნდა გვახსოვდეს, რომ თანამედროვე ჩექმები ოდნავ განსხვავებულად მუშაობს და ავტომატურად არ აინფიცირებს მოწყობილობებს. ჩატვირთვის სექტორის ვირუსის იდენტიფიცირების სხვა გზა არის ანტივირუსული პროგრამული უზრუნველყოფა.

Შენიშვნა: ჩატვირთვის სექტორის ვირუსები არსებითად მოძველებულია, ეყრდნობა DOS-ის ეპოქის ტექნოლოგიას. ეს ოპერაციული სისტემები, სავარაუდოდ, მინიმალურ გამოყენებას ხედავენ, განსაკუთრებით მოძველებულ სისტემებს. ანტივირუსული პროდუქტის პოვნა, რომელსაც შეუძლია ასეთ ოპერაციულ სისტემაზე მუშაობა, ახლა რთული იქნება. გარდა ამისა, სავარაუდოა, რომ არავის შეუწუხებია ახალი ჩატვირთვის სექტორის ვირუსების შექმნა, თუ რაიმე ახალი გამოშვებულია, ისინი შეიძლება არ იყოს ადეკვატურად კატეგორიზებული, რათა აღმოაჩინონ, თუ იპოვით ანტივირუსულ პროგრამას გაშვება.

როგორ მოვიშოროთ ჩატვირთვის სექტორის ვირუსი

ანტივირუსულ პროდუქტს შედარებით სწრაფად უნდა შეეძლოს ჩატვირთვის სექტორის ვირუსისგან თავის დაღწევა. თუმცა, ეს ვარაუდობს, რომ თქვენ შეგიძლიათ იპოვოთ ანტივირუსული პროდუქტი, რომელიც მუშაობს ასეთ მოძველებულ სისტემაზე და რომ მას შეუძლია ვირუსის აღმოჩენა. უფრო თანამედროვე bootkits შეიძლება იყოს ძალიან რთული აღმოჩენა და ამოღება, რადგან ისინი აინფიცირებენ მეხსიერების ჩვეულებრივ შეზღუდული უბნებს. ორივე შეიძლება დამარცხდეს დისკის მთლიანად რეფორმატირებით. თუმცა, ეს პროცესი იშლება ყველა მონაცემები დისკზე და ასე არ არის იდეალური.

ასევე თეორიულად შესაძლებელია, რომ bootkit-მა დააინფიციროს თავად დედაპლატა, კონკრეტულად UEFI BIOS. ამ შემთხვევაში, დედაპლატის განახლებამ უნდა მოაგვაროს პრობლემა, მაგრამ შეიძლება არა, თუ ვირუსი სხვაგან გაგრძელდება. მით უმეტეს, თუ ვირუსს შეუძლია ხელახლა დააინფიციროს გამოსახულება, რომელზეც დედაპლატა იყო ჩასმული. ნებისმიერი ვირუსის აღმოსაფხვრელად 100% უტყუარი გზა არის ინფიცირებული კომპონენტის გადაყრა. ეს არის თქვენი მყარი დისკი, დედაპლატა და ა.შ., არ არის აუცილებელი მთელი კომპიუტერი.

დასკვნა

ჩატვირთვის სექტორის ვირუსი კლასიკური ტიპია DOS-ის ეპოქიდან. მათ აინფიცირეს საცავის მედიის ჩატვირთვის სექტორი და აქტიურად აინფიცირეს ნებისმიერი სხვა ხელმისაწვდომი მედიის ჩატვირთვის სექტორი. ჩატვირთვის სექტორი იყო შენახვის მოწყობილობის ნაწილი, რომელიც პირველად ჩაიტვირთა BIOS-ით. როგორც ასეთი, მავნე პროგრამა მაშინვე დაიწყო.

რადგან ისინი ეყრდნობოდნენ BIOS და DOS ბრძანებებს, ისინი დაიღუპნენ Windows-ის დანერგვისას. თანამედროვე ვერსია ცნობილია როგორც bootkit. იგი მოქმედებს ანალოგიურად, აინფიცირებს ჩამტვირთველს, რომელიც უწოდებს ოპერაციულ სისტემას. ეს ძალიან ართულებს გამოვლენას ან ამოღებას, რადგან თანამედროვე უსაფრთხოების ზომები იცავს ჩამტვირთველს მარტივი წვდომისგან.