Vírus zavádzacieho sektora je konkrétny druh vírusu pomenovaný podľa miesta, kde sa nachádza. To by bol boot sektor diskiet alebo Master Boot Record modernejších pevných diskov. V niektorých prípadoch môžu infikovať boot sektor uvedených pevných diskov namiesto MBR.
Kód, ktorý tvorí vírus, sa spustí, keď sa spustí čokoľvek, čo je na disku alebo jednotke. Inými slovami, ak sa používateľ pokúsi pripojiť a použiť infikovaný pevný disk, spustí vírus. Po načítaní sa takmer všetky tieto vírusy skopírujú na iné dostupné a kompatibilné disky a jednotky, takže ak a počítač mal vložené štyri čisté diskety a pridala sa piata infikovaná a použila sa, všetkých päť by pravdepodobne skončilo infikovaný.
Čo robia vírusy zavádzacieho sektora?
Kvôli spôsobu a umiestneniu, v ktorom sú vírusy umiestnené, sa vírusy v zavádzacom sektore skončia, keď sa zariadenie, na ktorom sú, spustia alebo zapojí a zapne. Ide o infekcie na úrovni systému BIOS, čo znamená, že nevyžadujú žiadnu konkrétnu interakciu používateľa (ako je otvorenie e-mailu alebo kliknutie na pochybný webový odkaz) ovplyvniť systém.
Nevýhodou je, že sa pri šírení spoliehajú na príkazy DOS. DOS sa nepoužíval od vydania systému Windows 95, kedy sa používanie vírusov v zavádzacom sektore rýchlo znížilo, pretože už nefungovali. Pôvodné vírusy boot sektora by boli v modernom počítači, ktorý nepoužíva/nerozumie príkazom DOSu, úplne neškodné – typ vírusu však pretrváva aj v novom variante.
Moderné vírusy zavádzacieho sektora
Moderný ekvivalent sa často nazýva „bootkit“, ktorý sa sám zapíše do MBR alebo Master Boot Record. Týmto spôsobom dosahujú rovnaký efekt spúšťania na začiatku procesu zavádzania. To im umožňuje skryť svoju prítomnosť aj to, čo robia, za inými procesmi – a opäť nevyžaduje žiadnu interakciu používateľa okrem spustenia počítača.
Bootkity nie sú kompatibilné s vymeniteľnými médiami – inými slovami, zatiaľ čo pôvodné vírusy boot sektora prosperovali na disketách, bootkity takto nefungujú. Nemohli napríklad infikovať USB kľúč – hoci sa naň dajú uložiť a preniesť, neaktivovali by sa. Iné vírusy sa môžu spúšťať z vymeniteľných médií, ako sú napríklad flash disky, ale bootkity nie.
Ako vyzerá vírus zavádzacieho sektora?
Ako pri každom víruse, to, ako vyzerá, závisí od toho, kto ho vytvoril a aký účel má dosiahnuť. Zavádzací sektor musí mať vždy 0x55 a 0xAA ako posledné dva bajty údajov. Bez nich počítač buď úplne odmietne zaviesť systém, alebo aspoň zobrazí chybové hlásenie. Toto chybové hlásenie – alebo odmietnutie spustenia – môže byť jedným z niekoľkých indikátorov vírusu zavádzacieho sektora, hoci neposkytuje žiadnu konkrétnu stopu o tom, čo môže vírus robiť.
Ako identifikovať vírus zavádzacieho sektora
Vírus zavádzacieho sektora možno identifikovať dvoma rôznymi spôsobmi. Po prvé, svojimi činmi. Vírus zavádzacieho sektora infikuje časť pamäťového média načítaného systémom BIOS pri zavádzaní systému. Aktívne infikuje aj všetky ostatné pamäťové médiá pripojené k infikovanému počítaču. Je potrebné pripomenúť, že moderné bootkity fungujú trochu inak a neinfikujú zariadenia automaticky. Ďalším spôsobom, ako identifikovať vírus zavádzacieho sektora, je antivírusový softvér.
Poznámka: Vírusy zavádzacieho sektora sú v podstate zastarané a spoliehajú sa na technológiu z éry DOS. Tieto operačné systémy sa pravdepodobne používajú minimálne, najmä staršie systémy. Nájsť antivírusový produkt, ktorý by mohol bežať na takomto operačnom systéme, by teraz bolo náročné. Navyše, aj keď je pravdepodobné, že sa nikto neobťažoval vytvárať nové vírusy zavádzacieho sektora, ak nejaké nové boli uvoľnené, nemusia byť primerane kategorizované, aby ich bolo možné zistiť, ak nájdete antivírusový program behať.
Ako sa zbaviť vírusu zavádzacieho sektora
Antivírusový produkt by mal byť schopný pomerne rýchlo zbaviť vírus boot sektora. To však predpokladá, že nájdete antivírusový produkt, ktorý funguje na takomto zastaranom systéme a že dokáže detekovať vírus. Modernejšie bootkity môže byť mimoriadne ťažké odhaliť a odstrániť, pretože infikujú oblasti pamäte, ktoré sú zvyčajne obmedzené. Oboje možno poraziť úplným preformátovaním disku. Tento proces však utiera všetky dáta na disku, a preto nie je ideálne.
Je tiež teoreticky možné, že bootkit infikuje samotnú základnú dosku, konkrétne UEFI BIOS. V tomto prípade by problém mal vyriešiť preflashovanie základnej dosky, ale nemusí, ak vírus pretrváva inde. Najmä ak by vírus mohol reinfikovať obraz, na ktorý bola flashovaná základná doska. 100% istý spôsob, ako odstrániť akýkoľvek vírus, je vyhodiť infikovaný komponent. To je váš pevný disk, základná doska atď., nie nevyhnutne celý počítač.
Záver
Vírus boot sektora je klasický typ z éry DOS. Infikovali boot sektor úložného média a aktívne infikovali boot sektor akéhokoľvek iného dostupného úložného média. Zavádzací sektor bola časť úložného zariadenia, ktorú BIOS načítal ako prvú. Ako taký bol malvér okamžite spustený.
Keďže sa spoliehali na príkazy systému BIOS a DOS, po uvedení systému Windows vymreli. Moderná verzia je známa ako bootkit. Funguje podobne a infikuje zavádzač, ktorý volá operačný systém. To veľmi sťažuje detekciu alebo odstránenie, pretože moderné bezpečnostné opatrenia chránia bootloader pred ľahkým prístupom.