ไวรัสบูตเซกเตอร์เป็นไวรัสชนิดหนึ่งที่ตั้งชื่อตามตำแหน่งที่พบ นั่นจะเป็นบูตเซกเตอร์ของฟล็อปปี้ดิสก์หรือ Master Boot Record ของฮาร์ดดิสก์รุ่นใหม่ๆ ในบางกรณี พวกมันสามารถแพร่เชื้อไปยังบูตเซกเตอร์ของฮาร์ดดิสก์ดังกล่าว แทนที่จะเป็น MBR
รหัสที่สร้างไวรัสจะทำงานเมื่อสิ่งที่อยู่ในดิสก์หรือไดรฟ์ถูกบูท กล่าวอีกนัยหนึ่ง ถ้าผู้ใช้พยายามเสียบปลั๊กและใช้ฮาร์ดดิสก์ที่ติดไวรัส พวกเขาจะรันไวรัส เมื่อโหลดแล้ว ไวรัสเหล่านี้เกือบทั้งหมดจะคัดลอกตัวเองไปยังดิสก์และไดรฟ์อื่นๆ ที่มีอยู่และเข้ากันได้ ดังนั้นหาก ก คอมพิวเตอร์ใส่แผ่นฟล็อปปี้ดิสก์สี่แผ่น และแผ่นที่ติดไวรัสแผ่นที่ห้าถูกเพิ่มและใช้ ซึ่งทั้งห้าน่าจะจบลง ติดเชื้อแล้ว.
ไวรัส Boot Sector ทำอะไรได้บ้าง?
เนื่องจากวิธีและตำแหน่งที่พวกมันถูกวางไว้ ไวรัสบูตเซกเตอร์จึงทำงานเมื่ออุปกรณ์ที่พวกมันเปิดอยู่ถูกบูทขึ้นหรือเสียบปลั๊กและเปิดเครื่อง เป็นการติดเชื้อระดับ BIOS ซึ่งหมายความว่าไม่ต้องการการโต้ตอบจากผู้ใช้โดยเฉพาะ (เช่น การเปิดอีเมลหรือคลิกลิงก์เว็บไซต์ที่หลบๆ ซ่อนๆ) เพื่อส่งผลกระทบต่อระบบ
ข้อเสียคือต้องพึ่งพาคำสั่ง DOS ในการแพร่กระจาย ไม่ได้ใช้ DOS ตั้งแต่เปิดตัว Windows 95 ซึ่ง ณ จุดนี้การใช้ไวรัสบูตเซกเตอร์ลดลงอย่างรวดเร็วเนื่องจากไม่ทำงานอีกต่อไป ไวรัสบูตเซกเตอร์ดั้งเดิมจะไม่เป็นอันตรายอย่างสิ้นเชิงในคอมพิวเตอร์สมัยใหม่ที่ไม่ได้ใช้/ไม่เข้าใจคำสั่งของ DOS อย่างไรก็ตาม ประเภทของไวรัสยังคงมีอยู่ในตัวแปรใหม่
ไวรัสบูตเซกเตอร์สมัยใหม่
สิ่งที่เทียบเท่าในปัจจุบันมักเรียกว่า "bootkit" ซึ่งเขียนตัวเองลงใน MBR หรือ Master Boot Record ด้วยวิธีนี้ พวกเขาได้รับผลเช่นเดียวกันกับการเปิดตัวในช่วงต้นของกระบวนการบู๊ต ซึ่งช่วยให้พวกเขาซ่อนทั้งการแสดงตนและสิ่งที่พวกเขากำลังทำอยู่เบื้องหลังกระบวนการอื่นๆ และอีกครั้ง ไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้อื่นนอกจากการบูทเครื่อง
Bootkit ไม่สามารถทำงานร่วมกับสื่อที่ถอดเข้าออกได้ – หรืออีกนัยหนึ่งคือ ในขณะที่ไวรัสบูตเซกเตอร์ดั้งเดิมเติบโตในฟล็อปปี้ดิสก์ แต่ bootkits ไม่ทำงานเช่นนั้น ตัวอย่างเช่น พวกเขาไม่สามารถแพร่เชื้อไปยังแท่ง USB ได้ แม้ว่าจะสามารถจัดเก็บและถ่ายโอนได้ในแท่งเดียว แต่ก็จะไม่เปิดใช้งาน ไวรัสอื่นๆ สามารถเรียกใช้จากสื่อที่ถอดเข้าออกได้ เช่น ธัมบ์ไดรฟ์ แต่บูทคิทไม่สามารถทำได้
ไวรัส Boot Sector มีลักษณะอย่างไร?
เช่นเดียวกับไวรัสใดๆ ก็ตาม หน้าตาของมันขึ้นอยู่กับว่าใครเป็นผู้สร้างมันขึ้นมาและจุดประสงค์ของมันเพื่อให้บรรลุผล บูตเซกเตอร์ต้องมี 0x55 และ 0xAA เป็นข้อมูลสองไบต์สุดท้ายเสมอตามลำดับ คอมพิวเตอร์จะปฏิเสธการบูตทั้งหมดหรืออย่างน้อยก็แสดงข้อความแสดงข้อผิดพลาด ข้อความแสดงข้อผิดพลาดนี้ – หรือการปฏิเสธที่จะบู๊ต – อาจเป็นหนึ่งในหลาย ๆ ตัวบ่งชี้ของไวรัสบูตเซกเตอร์ แม้ว่าจะไม่ได้ให้เงื่อนงำใด ๆ เป็นพิเศษว่าไวรัสอาจกำลังทำอะไรอยู่
วิธีระบุไวรัสบูตเซกเตอร์
ไวรัสบูตเซกเตอร์สามารถระบุได้สองวิธี ประการแรกโดยการกระทำของมัน ไวรัสบูตเซกเตอร์ติดไวรัสในส่วนของสื่อเก็บข้อมูลที่โหลดโดย BIOS เมื่อบูตเครื่อง นอกจากนี้ยังติดไวรัสสื่อเก็บข้อมูลอื่น ๆ ทั้งหมดที่เชื่อมต่อกับคอมพิวเตอร์ที่ติดไวรัส เป็นสิ่งที่ควรค่าแก่การจดจำว่า bootkits สมัยใหม่นั้นทำงานแตกต่างกันเล็กน้อยและไม่ทำให้อุปกรณ์ติดไวรัสโดยอัตโนมัติ อีกวิธีหนึ่งในการระบุไวรัสบูตเซกเตอร์คือการใช้ซอฟต์แวร์ป้องกันไวรัส
บันทึก: ไวรัสบูตเซกเตอร์นั้นล้าสมัยโดยพื้นฐานแล้วโดยอาศัยเทคโนโลยีในยุคดอส ระบบปฏิบัติการเหล่านี้น่าจะมีการใช้งานน้อยที่สุด โดยเฉพาะระบบเดิม การค้นหาผลิตภัณฑ์ป้องกันไวรัสที่สามารถทำงานบนระบบปฏิบัติการดังกล่าวได้นั้นเป็นเรื่องที่ท้าทายในตอนนี้ นอกจากนี้ ในขณะที่มีแนวโน้มว่าจะไม่มีใครสนใจที่จะสร้างไวรัสบูตเซกเตอร์ขึ้นมาใหม่ หากมีไวรัสตัวใหม่ ได้รับการเผยแพร่แล้ว อาจไม่ได้รับการจัดหมวดหมู่อย่างเพียงพอหากคุณพบโปรแกรมป้องกันไวรัส วิ่ง.
วิธีกำจัด Boot Sector Virus
ผลิตภัณฑ์ป้องกันไวรัสควรจะสามารถกำจัดไวรัสบูตเซกเตอร์ได้อย่างรวดเร็ว อย่างไรก็ตาม สิ่งนี้ถือว่าคุณสามารถค้นหาผลิตภัณฑ์ป้องกันไวรัสที่ทำงานบนระบบที่ล้าสมัยและสามารถตรวจจับไวรัสได้ bootkits ที่ทันสมัยกว่านั้นตรวจจับและถอดออกได้ยากมากเนื่องจากทำให้พื้นที่ของหน่วยความจำถูกจำกัดโดยทั่วไป ทั้งสองสามารถเอาชนะได้โดยการฟอร์แมตไดรฟ์ใหม่ทั้งหมด อย่างไรก็ตามกระบวนการนี้จะเช็ด ทั้งหมด ข้อมูลในไดรฟ์และอื่น ๆ ไม่เหมาะ
นอกจากนี้ ในทางทฤษฎียังเป็นไปได้ที่ bootkit จะติดไวรัสในเมนบอร์ด โดยเฉพาะ UEFI BIOS ในกรณีนี้ การแฟลชเมนบอร์ดอีกครั้งน่าจะช่วยแก้ปัญหาได้ แต่อาจแก้ปัญหาไม่ได้หากไวรัสยังคงอยู่ที่อื่น โดยเฉพาะอย่างยิ่งหากไวรัสสามารถติดอิมเมจที่แฟลชเมนบอร์ดซ้ำได้ วิธีที่แน่นอน 100% ในการกำจัดไวรัสคือการทิ้งส่วนประกอบที่ติดไวรัส นั่นคือฮาร์ดไดรฟ์ เมนบอร์ด ฯลฯ ของคุณ ไม่จำเป็นต้องเป็นคอมพิวเตอร์ทั้งเครื่อง
บทสรุป
ไวรัสบูตเซกเตอร์เป็นประเภทคลาสสิกจากยุคดอส พวกเขาติดไวรัสบูตเซกเตอร์ของสื่อเก็บข้อมูลและติดไวรัสในบูตเซกเตอร์ของสื่อเก็บข้อมูลอื่น ๆ ที่มีอยู่ บูตเซกเตอร์เป็นส่วนของอุปกรณ์เก็บข้อมูลที่โหลดก่อนโดย BIOS ด้วยเหตุนี้ มัลแวร์จึงเปิดตัวทันที
เนื่องจากพวกเขาพึ่งพาคำสั่ง BIOS และ DOS พวกเขาจึงหยุดทำงานเมื่อเปิดตัว Windows รุ่นที่ทันสมัยเรียกว่า bootkit มันทำหน้าที่คล้าย ๆ กันคือติดไวรัสบูตที่เรียกระบบปฏิบัติการ สิ่งนี้ทำให้ตรวจจับหรือลบออกได้ยากมาก เนื่องจากมาตรการรักษาความปลอดภัยสมัยใหม่จะปกป้อง bootloader ไม่ให้เข้าถึงได้ง่าย