ไวรัสบูตเซกเตอร์คืออะไร?

ไวรัสบูตเซกเตอร์เป็นไวรัสชนิดหนึ่งที่ตั้งชื่อตามตำแหน่งที่พบ นั่นจะเป็นบูตเซกเตอร์ของฟล็อปปี้ดิสก์หรือ Master Boot Record ของฮาร์ดดิสก์รุ่นใหม่กว่า ในบางกรณี พวกมันสามารถแพร่เชื้อไปยังบูตเซกเตอร์ของฮาร์ดดิสก์ดังกล่าว แทนที่จะเป็น MBR

รหัสที่สร้างไวรัสจะทำงานเมื่อสิ่งที่อยู่ในดิสก์หรือไดรฟ์ถูกบูท กล่าวอีกนัยหนึ่ง ถ้าผู้ใช้พยายามเสียบปลั๊กและใช้ฮาร์ดดิสก์ที่ติดไวรัส พวกเขาจะรันไวรัส เมื่อโหลดแล้ว ไวรัสเหล่านี้เกือบทั้งหมดจะคัดลอกตัวเองไปยังดิสก์และไดรฟ์อื่นๆ ที่มีอยู่และเข้ากันได้ ดังนั้นหากคอมพิวเตอร์ใส่แผ่นฟลอปปีดิสก์สะอาดสี่แผ่น และมีการเพิ่มและใช้แผ่นที่ติดไวรัสแผ่นที่ห้า ทั้งห้าก็น่าจะติดไวรัส

ไวรัส Boot Sector ทำอะไรได้บ้าง?

เนื่องจากวิธีและตำแหน่งที่พวกมันถูกวางไว้ ไวรัสบูตเซกเตอร์จึงทำงานเมื่ออุปกรณ์ที่พวกมันเปิดอยู่ถูกบูทขึ้นหรือเสียบปลั๊กและเปิดเครื่อง พวกมันเป็นการติดเชื้อระดับ BIOS ซึ่งหมายความว่าพวกมันไม่ต้องการการโต้ตอบใด ๆ ของผู้ใช้ ( เช่น การเปิดอีเมลหรือคลิกที่ลิงค์เว็บไซต์ที่หลบเลี่ยง ) เพื่อส่งผลกระทบต่อระบบ

ข้อเสียคือต้องพึ่งพาคำสั่ง DOS ในการแพร่กระจาย ไม่ได้ใช้ DOS ตั้งแต่เปิดตัว Windows 95 ซึ่ง ณ จุดนี้การใช้ไวรัสบูตเซกเตอร์ลดลงอย่างรวดเร็วเนื่องจากไม่ทำงานอีกต่อไป ไวรัสบูตเซกเตอร์ดั้งเดิมจะไม่เป็นอันตรายอย่างสิ้นเชิงในคอมพิวเตอร์สมัยใหม่ที่ไม่ได้ใช้/ไม่เข้าใจคำสั่งของ DOS อย่างไรก็ตาม ประเภทของไวรัสยังคงมีอยู่ในตัวแปรใหม่

ไวรัสบูตเซกเตอร์สมัยใหม่

สิ่งที่เทียบเท่าในปัจจุบันมักเรียกว่า "bootkit" ซึ่งเขียนตัวเองลงใน MBR หรือ Master Boot Record ด้วยวิธีนี้ พวกเขาได้รับผลเช่นเดียวกันกับการเปิดตัวในช่วงต้นของกระบวนการบู๊ต ซึ่งช่วยให้พวกเขาซ่อนทั้งการแสดงตนและสิ่งที่พวกเขากำลังทำอยู่เบื้องหลังกระบวนการอื่นๆ และอีกครั้ง ไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้อื่นนอกจากการบูทเครื่อง

Bootkits เข้ากันไม่ได้กับสื่อที่ถอดเข้าออกได้ กล่าวคือ ในขณะที่ไวรัสบูตเซกเตอร์ดั้งเดิมเติบโตในฟล็อปปี้ดิสก์ แต่ bootkits ไม่ทำงานเช่นนั้น ตัวอย่างเช่น สิ่งเหล่านี้ไม่สามารถทำให้แท่ง USB ติดไวรัสได้ แม้ว่าจะสามารถจัดเก็บและถ่ายโอนได้ในแท่งเดียว แต่ก็จะไม่เปิดใช้งาน ไวรัสอื่นๆ สามารถเรียกใช้จากสื่อที่ถอดเข้าออกได้ เช่น ธัมบ์ไดรฟ์ แต่บูทคิทไม่สามารถทำได้

ไวรัส Boot Sector มีลักษณะอย่างไร?

เช่นเดียวกับไวรัสใดๆ ก็ตาม หน้าตาของมันขึ้นอยู่กับว่าใครเป็นผู้สร้างมันขึ้นมาและจุดประสงค์ของมันเพื่อให้บรรลุผล บูตเซกเตอร์ต้องมี 0x55 และ 0xAA เป็นข้อมูลสองไบต์สุดท้ายตามลำดับเสมอ คอมพิวเตอร์จะปฏิเสธการบูตทั้งหมดหรืออย่างน้อยก็แสดงข้อความแสดงข้อผิดพลาด ข้อความแสดงข้อผิดพลาดนี้หรือการปฏิเสธที่จะบู๊ตสามารถเป็นหนึ่งในหลาย ๆ ตัวบ่งชี้ของไวรัสบูตเซกเตอร์ แม้ว่าจะไม่ได้ให้เงื่อนงำใด ๆ ที่เจาะจงว่าไวรัสอาจกำลังทำอะไรอยู่

วิธีระบุไวรัสบูตเซกเตอร์

ไวรัสบูตเซกเตอร์สามารถระบุได้สองวิธี ประการแรกโดยการกระทำของมัน ไวรัสบูตเซกเตอร์ติดไวรัสในส่วนของสื่อเก็บข้อมูลที่โหลดโดย BIOS เมื่อบูตเครื่อง นอกจากนี้ยังติดไวรัสสื่อเก็บข้อมูลอื่น ๆ ทั้งหมดที่เชื่อมต่อกับคอมพิวเตอร์ที่ติดไวรัส เป็นสิ่งที่ควรค่าแก่การจดจำว่า bootkits สมัยใหม่ทำงานแตกต่างออกไปเล็กน้อยและไม่ทำให้อุปกรณ์ติดไวรัสโดยอัตโนมัติ อีกวิธีหนึ่งในการระบุไวรัสบูตเซกเตอร์คือการใช้ซอฟต์แวร์ป้องกันไวรัส

หมายเหตุ:ไวรัสบูตเซกเตอร์ล้าสมัยโดยพื้นฐานแล้วโดยอาศัยเทคโนโลยีในยุคดอส ระบบปฏิบัติการเหล่านี้น่าจะมีการใช้งานน้อยที่สุด โดยเฉพาะระบบเดิม การค้นหาผลิตภัณฑ์ป้องกันไวรัสที่สามารถทำงานบนระบบปฏิบัติการดังกล่าวได้นั้นเป็นเรื่องที่ท้าทายในตอนนี้ นอกจากนี้ แม้ว่าจะไม่มีใครสนใจที่จะสร้างไวรัสบูตเซกเตอร์ขึ้นมาใหม่ หากมีไวรัสตัวใหม่ออกมา แต่ไวรัสเหล่านี้อาจไม่ได้รับการจัดหมวดหมู่อย่างเพียงพอให้ตรวจพบได้หากคุณพบโปรแกรมป้องกันไวรัสที่ทำงานอยู่

วิธีกำจัด Boot Sector Virus

ผลิตภัณฑ์ป้องกันไวรัสควรจะสามารถกำจัดไวรัสบูตเซกเตอร์ได้อย่างรวดเร็ว อย่างไรก็ตาม สิ่งนี้ถือว่าคุณสามารถค้นหาผลิตภัณฑ์ป้องกันไวรัสที่ทำงานบนระบบที่ล้าสมัยและสามารถตรวจจับไวรัสได้ bootkits ที่ทันสมัยกว่าสามารถตรวจพบและลบออกได้ยากมากเนื่องจากจะทำให้พื้นที่ของหน่วยความจำถูกจำกัดโดยทั่วไป ทั้งสองสามารถเอาชนะได้โดยการฟอร์แมตไดรฟ์ใหม่ทั้งหมด อย่างไรก็ตาม กระบวนการนี้จะล้าง ข้อมูล ทั้งหมดในไดรฟ์และไม่เหมาะ

ในทางทฤษฎียังเป็นไปได้ที่ bootkit จะติดไวรัสในเมนบอร์ด โดยเฉพาะ UEFI BIOS ในกรณีนี้ การแฟลชเมนบอร์ดอีกครั้งน่าจะช่วยแก้ปัญหาได้ แต่อาจแก้ปัญหาไม่ได้หากไวรัสยังคงอยู่ที่อื่น โดยเฉพาะอย่างยิ่งหากไวรัสสามารถติดอิมเมจที่แฟลชเมนบอร์ดซ้ำได้ วิธีที่แน่นอน 100% ในการกำจัดไวรัสคือการทิ้งส่วนประกอบที่ติดไวรัส นั่นคือฮาร์ดไดรฟ์ เมนบอร์ด ฯลฯ ของคุณ ไม่จำเป็นต้องเป็นคอมพิวเตอร์ทั้งเครื่อง

บทสรุป

ไวรัสบูตเซกเตอร์เป็นประเภทคลาสสิกจากยุคดอส พวกเขาติดไวรัสบูตเซกเตอร์ของสื่อเก็บข้อมูลและติดไวรัสในบูตเซกเตอร์ของสื่อเก็บข้อมูลอื่น ๆ ที่มีอยู่ บูตเซกเตอร์เป็นส่วนของอุปกรณ์เก็บข้อมูลที่โหลดก่อนโดย BIOS ด้วยเหตุนี้ มัลแวร์จึงเปิดตัวทันที

เนื่องจากพวกเขาพึ่งพาคำสั่ง BIOS และ DOS พวกเขาจึงหยุดทำงานเมื่อเปิดตัว Windows รุ่นที่ทันสมัยเรียกว่า bootkit มันทำหน้าที่คล้าย ๆ กันคือติดไวรัสบูตที่เรียกระบบปฏิบัติการ สิ่งนี้ทำให้ตรวจจับหรือลบออกได้ยากมาก เนื่องจากมาตรการรักษาความปลอดภัยสมัยใหม่จะปกป้อง bootloader ไม่ให้เข้าถึงได้ง่าย