Вірус завантажувального сектора — це особливий тип вірусу, який отримав назву за місцем його знаходження. Це буде завантажувальний сектор дискет або головний завантажувальний запис більш сучасних жорстких дисків. У деяких випадках вони можуть заразити завантажувальний сектор зазначених жорстких дисків замість MBR.
Код, з якого складається вірус, запускається, коли завантажується все, що є на диску чи приводі. Іншими словами, якщо користувач намагається підключити та використовувати заражений жорсткий диск, він запускає вірус. Після завантаження майже всі ці віруси скопіюються на інші доступні та сумісні диски та приводи, тому, якщо в комп’ютер було вставлено чотири чисті дискети, а п’яту заражену дискету було додано та використано, усі п’ять, ймовірно, закінчаться заражений.
Що роблять віруси завантажувального сектора?
Через спосіб і місце розташування віруси завантажувального сектора запускаються, коли пристрій, на якому вони знаходяться, завантажується або підключається та вмикається. Це зараження на рівні BIOS, тобто вони не потребують особливої взаємодії з користувачем (
наприклад відкрити електронний лист або натиснути посилання на хитрий веб-сайт), щоб впливати на систему.Недоліком є те, що вони покладаються на команди DOS для поширення. DOS не використовувався з моменту випуску Windows 95, після чого використання вірусів завантажувального сектора швидко скоротилося, оскільки вони більше не працювали. Оригінальні віруси завантажувального сектора були б абсолютно нешкідливими на сучасному комп’ютері, який не використовує/розуміє команди DOS – однак тип вірусу зберігається в новому варіанті.
Сучасні віруси завантажувального сектора
Сучасний еквівалент часто називають «буткітом», який записує себе в MBR або Master Boot Record. Таким чином вони досягають того самого ефекту запуску на початку процесу завантаження. Це дозволяє їм приховати свою присутність і те, що вони роблять за іншими процесами, і, знову ж таки, не вимагає жодної взаємодії з користувачем, окрім завантаження машини.
Буткіти несумісні зі знімними носіями – іншими словами, хоча оригінальні віруси завантажувального сектора процвітали на дискетах, буткіти так не працюють. Вони не могли, наприклад, заразити USB-накопичувач – хоча їх можна зберігати та передавати на одному, вони не активувалися. Інші віруси можуть запускатися зі знімних носіїв, таких як флеш-накопичувачі, але буткіти не можуть.
Як виглядає вірус завантажувального сектора?
Як і будь-який вірус, його вигляд залежить як від того, хто його створив, так і від того, для досягнення якої мети він призначений. Завантажувальний сектор завжди повинен мати 0x55 і 0xAA як останні два байти даних відповідно. Без них комп’ютер або повністю відмовиться завантажуватися, або принаймні покаже повідомлення про помилку. Це повідомлення про помилку – або відмова у завантаженні – може бути одним із кількох індикаторів вірусу завантажувального сектора, хоча воно не дає жодної підказки щодо того, що вірус може робити.
Як визначити вірус завантажувального сектора
Вірус завантажувального сектора можна визначити двома способами. По-перше, своїми діями. Вірус завантажувального сектора заражає частину носія, який завантажує BIOS під час завантаження. Він також активно заражає всі інші носії інформації, підключені до зараженого комп’ютера. Варто пам’ятати, що сучасні буткіти працюють дещо інакше й не заражають пристрої автоматично. Інший спосіб ідентифікації вірусу завантажувального сектора – це антивірусне програмне забезпечення.
Примітка: Віруси завантажувального сектора фактично застаріли, покладаються на технологію епохи DOS. Ці операційні системи, ймовірно, будуть використовуватися мінімально, особливо застарілі системи. Знайти антивірусний продукт, який може працювати на такій операційній системі, зараз було б складно. Крім того, хоча ймовірно, що ніхто не потрудився створити нові віруси завантажувального сектора, якщо є нові були випущені, вони можуть бути невідповідно класифіковані для виявлення, якщо ви знайдете антивірусну програму для бігати.
Як позбутися вірусу завантажувального сектора
Антивірусний продукт має бути здатний відносно швидко позбутися вірусу завантажувального сектора. Однак це припускає, що ви можете знайти антивірусний продукт, який працює на такій застарілій системі, і що він може виявити вірус. Більш сучасні буткіти може бути надзвичайно важко виявити та видалити, оскільки вони заражають області пам’яті, зазвичай обмежені. Обидва можна позбутися, повністю переформатувавши диск. Цей процес, однак, витирає все дані на диску, тому не є ідеальним.
Також теоретично можливо, що буткіт заразить саму материнську плату, зокрема UEFI BIOS. У цьому випадку перепрошивка материнської плати має вирішити проблему, але це може не вирішитися, якщо вірус зберігається деінде. Особливо, якщо вірус міг повторно заразити образ, на який була прошита материнська плата. На 100% вірний спосіб знищити будь-який вірус — викинути заражений компонент. Це ваш жорсткий диск, материнська плата тощо, не обов’язково весь комп’ютер.
Висновок
Вірус завантажувального сектора є класичним типом епохи DOS. Вони інфікували завантажувальний сектор носія даних і активно інфікували завантажувальний сектор будь-якого іншого доступного носія. Завантажувальний сектор був частиною запам'ятовуючого пристрою, який першим завантажувався BIOS. Таким чином, шкідливе програмне забезпечення було негайно запущено.
Оскільки вони покладалися на команди BIOS і DOS, вони вимерли з появою Windows. Сучасна версія відома як буткіт. Він діє аналогічно, заражаючи завантажувач, який викликає операційну систему. Через це його дуже важко виявити або видалити, оскільки сучасні заходи безпеки захищають завантажувач від легкого доступу.