Какво представлява вирусът на зареждащия сектор?

Вирусът на зареждащия сектор е особен вид вирус, наречен на мястото, където може да бъде намерен. Това би бил секторът за зареждане на флопи дисковете или главният запис за зареждане на по-модерните твърди дискове. В някои случаи те могат да заразят сектора за зареждане на споменатите твърди дискове вместо MBR.

Кодът, който съставлява вируса, се изпълнява, когато каквото и да е на диска или устройството се стартира. С други думи, ако потребителят се опита да включи и използва заразен твърд диск, той изпълнява вируса. Веднъж заредени, почти всички от тези вируси ще се копират на други налични и съвместими дискове и устройства, така че ако в компютъра са поставени четири чисти дискети и е добавена и използвана пета заразена, и петте вероятно ще се окажат заразени.

Какво правят вирусите на зареждащия сектор?

Поради начина и местоположението, на което са поставени, вирусите на сектора за зареждане в крайна сметка се изпълняват, когато устройството, на което се намират, се стартира или включи и включи. Те са инфекции на ниво BIOS, което означава, че не изискват никакво конкретно взаимодействие с потребителя ( като отваряне на имейл или щракване върху измамна връзка към уебсайт ), за да повлияят на системата.

Недостатъкът е, че те разчитат на DOS команди за разпространение. DOS не е бил използван от пускането на Windows 95, в който момент използването на вируси в сектора за зареждане бързо намаля, тъй като те вече не работеха. Оригиналните вируси в сектора за зареждане биха били напълно безобидни в модерен компютър, който не използва/разбира DOS команди – обаче типът вирус продължава да съществува в нов вариант.

Съвременни вируси на зареждащия сектор

Съвременният еквивалент често се нарича „bootkit“, който се записва в MBR или Master Boot Record. По този начин те постигат същия ефект на стартиране в началото на процеса на зареждане. Това им позволява да скрият както присъствието си, така и това, което правят зад други процеси – и отново не изисква взаимодействие с потребителя, освен зареждане на машината.

Буткитовете не са съвместими със сменяеми носители – с други думи, докато оригиналните вируси на сектора за зареждане процъфтяват на флопи дискове, буткитовете не работят по този начин. Те не биха могли например да заразят USB памет – въпреки че могат да се съхраняват и прехвърлят на такава, те няма да се активират. Други вируси могат да се изпълняват от сменяеми носители, като флашки, но буткитите не могат.

Как изглежда вирусът на зареждащия сектор?

Както при всеки вирус, как изглежда зависи както от това кой го е създал, така и от това каква цел е предназначен да постигне. Секторът за зареждане винаги трябва да има съответно 0x55 и 0xAA като последните два байта данни. Без тях компютърът или ще откаже да стартира изцяло, или поне ще покаже съобщение за грешка. Това съобщение за грешка – или отказ за зареждане – може да бъде един от няколко индикатора за вирус в зареждащия сектор, въпреки че не дава конкретна представа какво може да прави вирусът.

Как да идентифицирате вирус в зареждащия сектор

Вирусът на зареждащия сектор може да бъде идентифициран по два различни начина. Първо, с действията си. Вирусът на сектора за зареждане заразява частта от носителя за съхранение, заредена от BIOS при зареждане. Той също активно заразява всички други носители за съхранение, свързани към заразения компютър. Струва си да запомните, че съвременните буткитове работят малко по-различно и не заразяват автоматично устройства. Другият начин за идентифициране на вирус в зареждащия сектор е с антивирусен софтуер.

Забележка: Вирусите в сектора за зареждане са по същество остарели и разчитат на технологията от ерата на DOS. Тези операционни системи вероятно имат минимална употреба, особено наследените системи. Намирането на антивирусен продукт, който може да работи на такава операционна система, сега би било предизвикателство. Освен това, въпреки че е вероятно никой да не си е направил труда да създаде нови вируси за зареждащия сектор, ако са пуснати нови, те може да не са адекватно категоризирани, за да бъдат открити, ако намерите антивирусна програма, която да стартирате.

Как да се отървете от вируса на зареждащия сектор

Антивирусният продукт трябва да може да се отърве от вируса на зареждащия сектор относително бързо. Това обаче предполага, че можете да намерите антивирусен продукт, който работи на такава остаряла система и че може да открие вируса. По-модерните буткитове могат да бъдат изключително трудни за откриване и премахване, тъй като заразяват области от паметта, които обикновено са ограничени. И двете могат да бъдат победени чрез пълно преформатиране на устройството. Този процес обаче изтрива всички данни на устройството и затова не е идеален.

Също така теоретично е възможно буткитът да зарази самата дънна платка, по-специално UEFI BIOS. В този случай презареждането на дънната платка трябва да реши проблема, но може и да не е, ако вирусът продължава да съществува другаде. Особено ако вирусът може да зарази повторно изображението, към което е флашна дънната платка. 100% сигурният начин за премахване на всеки вирус е да изхвърлите заразения компонент. Това е вашият твърд диск, дънна платка и т.н., а не непременно целия компютър.

Заключение

Вирусът на зареждащия сектор е класически тип от ерата на DOS. Те заразиха сектора за зареждане на носителя за съхранение и активно заразиха сектора за зареждане на всеки друг наличен носител за съхранение. Секторът за зареждане беше частта от устройството за съхранение, заредена първо от BIOS. Като такъв зловредният софтуер беше незабавно стартиран.

Тъй като разчитаха на BIOS и DOS командите, те изчезнаха, когато беше представен Windows. Модерна версия е известна като bootkit. Той действа по подобен начин, заразявайки зареждащия механизъм, който извиква операционната система. Това го прави много трудно за откриване или премахване, тъй като съвременните мерки за сигурност защитават буутлоудъра от лесен достъп.