Un virus din sectorul de boot este un anumit tip de virus numit după locația în care poate fi găsit. Acesta ar fi sectorul de boot al dischetelor sau Master Boot Record al hard disk-urilor mai moderne. În unele cazuri, acestea pot infecta sectorul de pornire al hard disk-urilor menționate în loc de MBR.
Codul care alcătuiește virusul rulează atunci când orice se află pe disc sau unitate este pornit. Cu alte cuvinte, dacă utilizatorul încearcă să se conecteze și să folosească un hard disk infectat, acesta execută virusul. Odată încărcați, aproape toți acești viruși se vor copia pe alte discuri și unități disponibile și compatibile, deci dacă un computerul avea patru dischete curate introduse și o a cincea infectată a fost adăugată și folosită, toate cele cinci ar ajunge probabil infectat.
Ce fac virușii din sectorul de pornire?
Din cauza modului și a locației în care sunt plasați, virușii din sectorul de boot ajung să se execute atunci când dispozitivul pe care se află este pornit sau conectat și pornit. Sunt infecții la nivel de BIOS, ceea ce înseamnă că nu necesită nicio interacțiune specială a utilizatorului (
cum ar fi deschiderea unui e-mail sau făcând clic pe un link al site-ului web dus) pentru a afecta un sistem.Dezavantajul este că se bazează pe comenzile DOS pentru a se răspândi. DOS nu a fost folosit de la lansarea Windows 95, moment în care utilizarea virușilor din sectorul de pornire a scăzut rapid, deoarece nu mai funcționau. Virușii originali din sectorul de boot ar fi complet inofensivi într-un computer modern care nu folosește/înțelege comenzile DOS – cu toate acestea, tipul de virus persistă într-o variantă nouă.
Virușii moderni din sectorul de boot
Echivalentul modern este adesea numit „bootkit”, care se înscrie în MBR sau Master Boot Record. În acest fel, obțin același efect de lansare la începutul procesului de pornire. Acest lucru le permite să-și ascundă atât prezența, cât și ceea ce fac în spatele altor procese – și, din nou, nu necesită nicio interacțiune a utilizatorului, în afară de pornirea mașinii.
Bootkit-urile nu sunt compatibile cu mediile amovibile - cu alte cuvinte, în timp ce virușii originali din sectorul de boot au prosperat pe dischete, bootkit-urile nu funcționează așa. Nu ar putea, de exemplu, infecta un stick USB – deși pot fi stocate și transferate pe unul, nu s-ar activa. Alți viruși se pot executa de pe medii amovibile, cum ar fi unitățile de memorie, dar bootkit-urile nu.
Cum arată un virus din sectorul de boot?
Ca și în cazul oricărui virus, cum arată depinde atât de cine l-a creat, cât și de scopul pe care trebuie să-l atingă. Un sector de boot trebuie să aibă întotdeauna 0x55 și, respectiv, 0xAA ca ultimii doi octeți de date. Fără ele acolo, computerul fie va refuza să pornească complet, fie cel puțin va afișa un mesaj de eroare. Acest mesaj de eroare – sau refuzul de a porni – poate fi unul dintre câțiva indicatori ai unui virus din sectorul de pornire, deși nu oferă niciun indiciu special cu privire la ceea ce ar putea face virusul.
Cum să identificați un virus din sectorul de pornire
Un virus din sectorul de boot poate fi identificat în două moduri diferite. În primul rând, prin acțiunile sale. Un virus din sectorul de pornire infectează partea din mediul de stocare încărcat de BIOS la pornire. De asemenea, infectează în mod activ toate celelalte medii de stocare atașate la computerul infectat. Merită să ne amintim că bootkit-urile moderne funcționează ușor diferit și nu infectează automat dispozitivele. Cealaltă modalitate de a identifica un virus din sectorul de pornire este cu un software antivirus.
Notă: Virușii din sectorul de pornire sunt în esență învechiți, bazându-se pe tehnologia din era DOS. Aceste sisteme de operare au probabil o utilizare minimă, în special sistemele vechi. Găsirea unui produs antivirus care poate rula pe un astfel de sistem de operare ar fi o provocare acum. În plus, deși este probabil ca nimeni să nu fi obosit să creeze noi viruși din sectorul de pornire, dacă există alții noi au fost lansate, este posibil ca acestea să nu fie clasificate în mod adecvat pentru a fi detectate dacă găsiți un program antivirus alerga.
Cum să scapi de un virus din sectorul de boot
Un produs antivirus ar trebui să poată scăpa de un virus din sectorul de pornire relativ rapid. Aceasta presupune, totuși, că puteți găsi un produs antivirus care funcționează pe un astfel de sistem învechit și că poate detecta virusul. Bootkit-urile mai moderne pot fi extrem de greu de detectat și eliminat, deoarece infectează zone de memorie de obicei restricționate. Ambele pot fi înfrânte prin reformatarea completă a unității. Acest proces, totuși, șterge toate date de pe unitate și deci nu este ideal.
De asemenea, teoretic este posibil ca bootkit-ul să infecteze placa de bază însăși, în special UEFI BIOS. În acest caz, reîncărcarea plăcii de bază ar trebui să rezolve problema, dar s-ar putea să nu fie cazul dacă virusul persistă în altă parte. Mai ales dacă virusul ar putea reinfecta imaginea la care a fost flash-ată placa de bază. Modalitatea 100% sigură de a elimina orice virus este să aruncați componenta infectată. Acesta este hard diskul, placa de bază etc., nu neapărat întregul computer.
Concluzie
Un virus de sector de boot este un tip clasic din era DOS. Au infectat sectorul de pornire al mediilor de stocare și au infectat activ sectorul de pornire al oricărei alte medii de stocare disponibile. Sectorul de boot era porțiunea dispozitivului de stocare încărcată mai întâi de BIOS. Ca atare, malware-ul a fost lansat imediat.
Deoarece se bazau pe comenzile BIOS și DOS, s-au stins când a fost introdus Windows. O versiune modernă este cunoscută ca bootkit. Acționează în mod similar, infectând încărcătorul de pornire care apelează sistemul de operare. Acest lucru îl face foarte greu de detectat sau îndepărtat, deoarece măsurile moderne de securitate protejează bootloader-ul de un acces ușor.