Ce este un virus Boot Sector?

Un virus din sectorul de boot este un anumit tip de virus numit după locația în care poate fi găsit. Acesta ar fi sectorul de boot al dischetelor sau Master Boot Record al hard disk-urilor mai moderne. În unele cazuri, acestea pot infecta sectorul de pornire al hard disk-urilor menționate în loc de MBR.

Codul care alcătuiește virusul rulează atunci când orice se află pe disc sau unitate este pornit. Cu alte cuvinte, dacă utilizatorul încearcă să se conecteze și să folosească un hard disk infectat, acesta execută virusul. Odată încărcați, aproape toți acești viruși se vor copia pe alte discuri și unități disponibile și compatibile, așa că dacă un computer avea patru dischete curate introduse și ar fi adăugat și folosit o a cincea infectată, toate cele cinci ar ajunge probabil infectate.

Ce fac virușii din sectorul de pornire?

Datorită modului și locației în care sunt plasați, virușii din sectorul de boot ajung să se execute atunci când dispozitivul pe care se află este pornit sau conectat și pornit. Sunt infecții la nivel de BIOS, ceea ce înseamnă că nu necesită nicio interacțiune specială a utilizatorului ( cum ar fi deschiderea unui e-mail sau clic pe un link de site web dus ) pentru a afecta un sistem.

Dezavantajul este că se bazează pe comenzile DOS pentru a se răspândi. DOS nu a fost folosit de la lansarea Windows 95, moment în care utilizarea virușilor din sectorul de pornire a scăzut rapid, deoarece nu mai funcționau. Virușii originali din sectorul de boot ar fi complet inofensivi într-un computer modern care nu folosește/înțelege comenzile DOS – cu toate acestea, tipul de virus persistă într-o variantă nouă.

Virușii moderni din sectorul de boot

Echivalentul modern este adesea numit „bootkit”, care se înscrie în MBR sau Master Boot Record. În acest fel, obțin același efect de lansare la începutul procesului de pornire. Acest lucru le permite să-și ascundă atât prezența, cât și ceea ce fac în spatele altor procese - și, din nou, nu necesită nicio interacțiune a utilizatorului, în afară de pornirea mașinii.

Bootkit-urile nu sunt compatibile cu mediile amovibile – cu alte cuvinte, în timp ce virușii originali din sectorul de boot au prosperat pe dischete, bootkit-urile nu funcționează așa. Nu ar putea, de exemplu, infecta un stick USB – deși pot fi stocate și transferate pe unul, nu s-ar activa. Alți viruși se pot executa de pe medii amovibile, cum ar fi unitățile de memorie, dar bootkit-urile nu.

Cum arată un virus din sectorul de boot?

Ca și în cazul oricărui virus, cum arată depinde atât de cine l-a creat, cât și de scopul pe care trebuie să-l atingă. Un sector de boot trebuie să aibă întotdeauna 0x55 și, respectiv, 0xAA ca ultimii doi octeți de date. Fără ele acolo, computerul fie va refuza să pornească complet, fie cel puțin va afișa un mesaj de eroare. Acest mesaj de eroare – sau refuzul de a porni – poate fi unul dintre câțiva indicatori ai unui virus din sectorul de boot, deși nu oferă nici un indiciu anume cu privire la ceea ce ar putea face virusul.

Cum să identificați un virus din sectorul de pornire

Un virus din sectorul de boot poate fi identificat în două moduri diferite. În primul rând, prin acțiunile sale. Un virus din sectorul de pornire infectează partea din mediul de stocare încărcat de BIOS la pornire. De asemenea, infectează în mod activ toate celelalte medii de stocare atașate la computerul infectat. Merită să ne amintim că bootkit-urile moderne funcționează ușor diferit și nu infectează automat dispozitivele. Cealaltă modalitate de a identifica un virus din sectorul de pornire este cu un software antivirus.

Notă: virușii din sectorul de boot sunt în esență învechiți, bazându-se pe tehnologia din era DOS. Aceste sisteme de operare au probabil o utilizare minimă, în special sistemele vechi. Găsirea unui produs antivirus care poate rula pe un astfel de sistem de operare ar fi o provocare acum. În plus, deși este probabil ca nimeni să nu fi obosit să creeze noi viruși din sectorul de pornire dacă au fost lansati alții noi, este posibil ca aceștia să nu fie clasificați corespunzător pentru a fi detectați dacă găsiți un program antivirus de rulat.

Cum să scapi de un virus din sectorul de boot

Un produs antivirus ar trebui să poată scăpa de un virus din sectorul de pornire relativ rapid. Aceasta presupune, totuși, că puteți găsi un produs antivirus care funcționează pe un astfel de sistem învechit și că poate detecta virusul. Bootkit-urile mai moderne pot fi extrem de greu de detectat și eliminat, deoarece infectează zone de memorie de obicei restricționate. Ambele pot fi înfrânte prin reformatarea completă a unității. Acest proces, totuși, șterge toate datele de pe unitate și, prin urmare, nu este ideal.

De asemenea, teoretic este posibil ca bootkit-ul să infecteze placa de bază în sine, în special BIOS-ul UEFI. În acest caz, reîncărcarea plăcii de bază ar trebui să rezolve problema, dar s-ar putea să nu fie cazul dacă virusul persistă în altă parte. Mai ales dacă virusul ar putea reinfecta imaginea la care a fost flash-ată placa de bază. Modul 100% sigur de a elimina orice virus este de a arunca componenta infectată. Acesta este hard diskul, placa de bază etc., nu neapărat întregul computer.

Concluzie

Un virus de sector de boot este un tip clasic din era DOS. Au infectat sectorul de pornire al mediilor de stocare și au infectat activ sectorul de pornire al oricărei alte medii de stocare disponibile. Sectorul de boot era porțiunea dispozitivului de stocare încărcată mai întâi de BIOS. Ca atare, malware-ul a fost lansat imediat.

Deoarece se bazau pe comenzile BIOS și DOS, s-au stins când a fost introdus Windows. O versiune modernă este cunoscută ca bootkit. Acționează în mod similar, infectând încărcătorul de pornire care apelează sistemul de operare. Acest lucru îl face foarte greu de detectat sau îndepărtat, deoarece măsurile moderne de securitate protejează bootloader-ul de un acces ușor.