Вирус загрузочного сектора — это особый тип вируса, названный в честь места, где его можно найти. Это может быть загрузочный сектор гибких дисков или основная загрузочная запись более современных жестких дисков. В некоторых случаях они могут заражать загрузочный сектор указанных жестких дисков вместо MBR.
Код, составляющий вирус, запускается, когда загружается все, что находится на диске или приводе. Другими словами, если пользователь пытается подключиться и использовать зараженный жесткий диск, он запускает вирус. После загрузки почти все эти вирусы копируют себя на другие доступные и совместимые диски и приводы, поэтому, если в компьютер были вставлены четыре чистых дискеты, а пятая зараженная была добавлена и использовалась, все пять, скорее всего, в конечном итоге зараженный.
Что делают вирусы загрузочного сектора?
Из-за того, как и где они размещаются, вирусы загрузочного сектора в конечном итоге запускаются, когда устройство, на котором они находятся, загружается или подключается и включается. Это инфекции на уровне BIOS, то есть они не требуют какого-либо конкретного взаимодействия с пользователем (
Например, открыть электронное письмо или перейти по сомнительной ссылке на веб-сайт.), чтобы воздействовать на систему.Недостатком является то, что они полагаются на команды DOS для распространения. DOS не использовалась с момента выпуска Windows 95, после чего использование загрузочных вирусов быстро сократилось, поскольку они больше не работали. Первоначальные вирусы загрузочного сектора были бы совершенно безвредны для современного компьютера, который не использует/не понимает команды DOS, однако тип вируса сохраняется в новом варианте.
Современные вирусы загрузочного сектора
Современный эквивалент часто называют «буткитом», который записывается в MBR или основную загрузочную запись. Таким образом, они достигают того же эффекта запуска в начале процесса загрузки. Это позволяет им скрывать как свое присутствие, так и то, что они делают, за другими процессами — и, опять же, не требует никакого взаимодействия с пользователем, кроме загрузки машины.
Буткиты несовместимы со съемными носителями — другими словами, хотя исходные вирусы загрузочного сектора процветали на гибких дисках, буткиты так не работают. Они не могли, например, заразить флешку — хотя их можно хранить и передавать на ней, они не активируются. Другие вирусы могут запускаться со съемных носителей, таких как флэш-накопители, но не буткиты.
Как выглядит вирус загрузочного сектора?
Как и в случае с любым другим вирусом, его внешний вид зависит как от того, кто его создал, так и от того, для какой цели он предназначен. Загрузочный сектор всегда должен иметь 0x55 и 0xAA в качестве последних двух байтов данных соответственно. Без них компьютер либо полностью откажется загружаться, либо, как минимум, покажет сообщение об ошибке. Это сообщение об ошибке — или отказ от загрузки — может быть одним из нескольких индикаторов вируса загрузочного сектора, хотя оно не дает какой-либо конкретной подсказки относительно того, что может делать вирус.
Как определить вирус загрузочного сектора
Вирус загрузочного сектора можно определить двумя способами. Во-первых, своими действиями. Вирус загрузочного сектора заражает часть носителя, загружаемую BIOS при загрузке. Он также активно заражает все другие носители информации, подключенные к зараженному компьютеру. Стоит помнить, что современные буткиты работают несколько иначе и не заражают устройства автоматически. Другой способ определить вирус загрузочного сектора — с помощью антивирусного программного обеспечения.
Примечание: Вирусы загрузочного сектора, по существу, устарели, поскольку основаны на технологии эпохи DOS. Эти операционные системы, вероятно, найдут минимальное применение, особенно устаревшие системы. Найти антивирусный продукт, который может работать в такой операционной системе, сейчас будет непросто. Кроме того, хотя вполне вероятно, что никто не удосужился создать новые вирусы для загрузочного сектора, если таковые появятся. были выпущены, они не могут быть адекватно классифицированы для обнаружения, если вы найдете антивирусную программу для бегать.
Как избавиться от вируса загрузочного сектора
Антивирусный продукт должен быть в состоянии относительно быстро избавиться от вируса в загрузочном секторе. Однако это предполагает, что вы можете найти антивирусный продукт, который работает на такой устаревшей системе и может обнаружить вирус. Более современные буткиты чрезвычайно трудно обнаружить и удалить, поскольку они заражают обычно ограниченные области памяти. И то, и другое можно победить, полностью переформатировав диск. Однако этот процесс стирает все данные на диске и поэтому не идеальны.
Также теоретически возможно, что буткит заразит саму материнскую плату, в частности UEFI BIOS. В этом случае перепрошивка материнской платы должна решить проблему, но может не решить проблему, если вирус сохраняется в другом месте. Особенно, если вирус мог повторно заразить образ, на который была прошита материнская плата. 100% верный способ уничтожить любой вирус — выбросить зараженный компонент. Это ваш жесткий диск, материнская плата и т. д., не обязательно весь компьютер.
Заключение
Вирус загрузочного сектора — классический тип из эпохи DOS. Они заражали загрузочный сектор носителя и активно заражали загрузочный сектор любого другого доступного носителя. Загрузочный сектор — это часть запоминающего устройства, загружаемая BIOS первой. Таким образом, вредоносное ПО было немедленно запущено.
Поскольку они полагались на команды BIOS и DOS, они вымерли с появлением Windows. Современная версия известна как буткит. Он действует аналогично, заражая загрузчик, вызывающий операционную систему. Из-за этого его очень трудно обнаружить или удалить, поскольку современные меры безопасности защищают загрузчик от легкого доступа.