Um vírus de setor de inicialização é um tipo específico de vírus nomeado após o local em que pode ser encontrado. Esse seria o setor de inicialização dos disquetes ou o Master Boot Record dos discos rígidos mais modernos. Em alguns casos, eles podem infectar o setor de inicialização dos referidos discos rígidos em vez do MBR.
O código que compõe o vírus é executado quando o que quer que esteja no disco ou na unidade é inicializado. Em outras palavras, se o usuário tentar conectar e usar um disco rígido infectado, ele executará o vírus. Depois de carregados, quase todos esses vírus se copiam para outros discos e unidades disponíveis e compatíveis, portanto, se um computador tinha quatro disquetes limpos inseridos e um quinto infectado foi adicionado e usado, todos os cinco provavelmente acabariam infetado.
O que os vírus do setor de inicialização fazem?
Devido à maneira e ao local em que são colocados, os vírus do setor de inicialização acabam sendo executados quando o dispositivo em que estão é inicializado ou conectado e ligado. São infecções no nível do BIOS, o que significa que não requerem nenhuma interação específica do usuário (
A desvantagem é que eles dependem de comandos do DOS para se espalhar. O DOS não é usado desde o lançamento do Windows 95, ponto em que o uso de vírus do setor de inicialização diminuiu rapidamente, pois eles não funcionavam mais. Os vírus originais do setor de inicialização seriam totalmente inofensivos em um computador moderno que não usa/entende os comandos do DOS – no entanto, o tipo de vírus persiste em uma nova variante.
Vírus modernos do setor de inicialização
O equivalente moderno costuma ser chamado de “bootkit”, que se grava no MBR ou Master Boot Record. Dessa forma, eles obtêm o mesmo efeito de inicialização no início do processo de inicialização. Isso permite que eles escondam sua presença e o que estão fazendo por trás de outros processos – e, novamente, não requer nenhuma interação do usuário além de inicializar a máquina.
Os bootkits não são compatíveis com mídia removível – em outras palavras, enquanto os vírus originais do setor de inicialização prosperavam em disquetes, os bootkits não funcionam assim. Eles não poderiam, por exemplo, infectar um stick USB – embora possam ser armazenados e transferidos em um, eles não seriam ativados. Outros vírus podem ser executados a partir de mídias removíveis, como pen drives, mas os bootkits não.
Como é um vírus do setor de inicialização?
Como acontece com qualquer vírus, sua aparência depende de quem o criou e de qual objetivo ele deve alcançar. Um setor de inicialização sempre deve ter 0x55 e 0xAA como os dois últimos bytes de dados, respectivamente. Sem eles, o computador se recusará a inicializar totalmente ou, pelo menos, exibirá uma mensagem de erro. Essa mensagem de erro - ou uma recusa em inicializar - pode ser um dos vários indicadores de um vírus do setor de inicialização, embora não forneça nenhuma pista específica sobre o que o vírus pode estar fazendo.
Como identificar um vírus do setor de inicialização
Um vírus de setor de inicialização pode ser identificado de duas maneiras diferentes. Em primeiro lugar, por suas ações. Um vírus do setor de inicialização infecta a parte da mídia de armazenamento carregada pelo BIOS durante a inicialização. Ele também infecta ativamente todas as outras mídias de armazenamento conectadas ao computador infectado. Vale lembrar que os bootkits modernos funcionam de maneira um pouco diferente e não infectam os dispositivos automaticamente. A outra maneira de identificar um vírus do setor de inicialização é com um software antivírus.
Observação: Os vírus do setor de inicialização são essencialmente obsoletos, contando com a tecnologia da era DOS. Esses sistemas operacionais provavelmente têm uso mínimo, principalmente sistemas legados. Encontrar um produto antivírus que possa ser executado em tal sistema operacional seria um desafio agora. Além disso, embora seja provável que ninguém tenha se preocupado em criar novos vírus do setor de inicialização, se houver algum novo foram lançados, eles podem não ser categorizados adequadamente para serem detectados se você encontrar um programa antivírus para correr.
Como se livrar de um vírus do setor de inicialização
Um produto antivírus deve ser capaz de eliminar um vírus do setor de inicialização com relativa rapidez. Isso pressupõe, no entanto, que você pode encontrar um produto antivírus que funcione em um sistema tão desatualizado e que possa detectar o vírus. Os bootkits mais modernos podem ser extremamente difíceis de detectar e remover, pois infectam áreas de memória normalmente restritas. Ambos podem ser derrotados reformatando totalmente a unidade. Este processo, no entanto, limpa todos dados na unidade e, portanto, não é o ideal.
Também é teoricamente possível que o bootkit infecte a própria placa-mãe, especificamente o UEFI BIOS. Nesse caso, atualizar novamente a placa-mãe deve resolver o problema, mas pode não resolver se o vírus persistir em outro lugar. Especialmente se o vírus puder infectar novamente a imagem na qual a placa-mãe foi atualizada. A maneira 100% infalível de eliminar qualquer vírus é jogar fora o componente infectado. Esse é o seu disco rígido, placa-mãe, etc., não necessariamente o computador inteiro.
Conclusão
Um vírus de setor de inicialização é um tipo clássico da era DOS. Eles infectaram o setor de inicialização da mídia de armazenamento e infectaram ativamente o setor de inicialização de qualquer outra mídia de armazenamento disponível. O setor de inicialização era a parte do dispositivo de armazenamento carregada primeiro pelo BIOS. Como tal, o malware foi lançado imediatamente.
Como eles dependiam dos comandos BIOS e DOS, eles desapareceram quando o Windows foi introduzido. Uma versão moderna é conhecida como bootkit. Ele age de forma semelhante, infectando o gerenciador de inicialização que chama o sistema operacional. Isso torna muito difícil detectá-lo ou removê-lo, pois as medidas de segurança modernas protegem o bootloader de fácil acesso.