Co je to virus spouštěcího sektoru?

Virus spouštěcího sektoru je zvláštní druh viru pojmenovaný podle umístění, kde se nachází. To by byl boot sektor disket nebo Master Boot Record modernějších pevných disků. V některých případech mohou infikovat boot sektor uvedených pevných disků namísto MBR.

Kód, který tvoří virus, se spouští, když se spouští cokoliv, co je na disku nebo jednotce. Jinými slovy, pokud se uživatel pokusí připojit a použít infikovaný pevný disk, spustí virus. Po načtení se téměř všechny tyto viry zkopírují na jiné dostupné a kompatibilní disky a jednotky, takže pokud by do počítače byly vloženy čtyři čisté diskety a byla přidána a použita pátá infikovaná, všech pět by pravděpodobně skončilo infikovaných.

Co dělají viry spouštěcího sektoru?

Kvůli způsobu a umístění, ve kterém jsou viry umístěny, se viry zaváděcího sektoru spouštějí, když je zařízení, na kterém jsou, spuštěno nebo zapojeno a zapnuto. Jsou to infekce na úrovni BIOSu, což znamená, že nevyžadují žádnou konkrétní interakci uživatele ( jako je otevření e-mailu nebo kliknutí na nebezpečný webový odkaz ), aby ovlivnily systém.

Nevýhodou je, že se při šíření spoléhají na příkazy DOS. DOS se nepoužíval od vydání Windows 95, kdy používání virů v boot sektoru rychle pokleslo, protože přestaly fungovat. Původní viry zaváděcího sektoru by byly v moderním počítači, který nepoužívá/rozumí příkazům DOSu, zcela neškodné – typ viru však přetrvává i v nové variantě.

Viry moderního spouštěcího sektoru

Moderní ekvivalent se často nazývá „bootkit“, který se zapisuje do MBR nebo Master Boot Record. Tímto způsobem dosáhnou stejného efektu spuštění brzy v procesu spouštění. To jim umožňuje skrýt svou přítomnost i to, co dělají, za jinými procesy – a opět nevyžaduje žádnou interakci uživatele kromě spouštění počítače.

Bootkity nejsou kompatibilní s vyměnitelnými médii – jinými slovy, zatímco původní viry zaváděcího sektoru se dařily na disketách, bootkity takto nefungují. Nemohly by například infikovat USB klíč – i když je lze uložit a přenést na jeden, neaktivovaly by se. Jiné viry se mohou spustit z vyměnitelných médií, jako jsou například flash disky, ale bootkity nikoli.

Jak vypadá virus spouštěcího sektoru?

Jako u každého viru, to, jak vypadá, závisí na tom, kdo jej vytvořil a jakého účelu má dosáhnout. Spouštěcí sektor musí mít vždy jako poslední dva bajty dat 0x55 a 0xAA. Bez nich počítač buď zcela odmítne nabootovat, nebo alespoň zobrazí chybovou zprávu. Tato chybová zpráva – nebo odmítnutí spuštění – může být jedním z několika indikátorů viru spouštěcího sektoru, i když nedává žádné konkrétní vodítko k tomu, co by virus mohl dělat.

Jak identifikovat virus spouštěcího sektoru

Virus spouštěcího sektoru lze identifikovat dvěma různými způsoby. Za prvé svými činy. Virus spouštěcího sektoru infikuje část úložného média načtenou systémem BIOS při spouštění. Aktivně také infikuje všechna ostatní paměťová média připojená k infikovanému počítači. Stojí za to připomenout, že moderní bootkity fungují trochu jinak a neinfikují automaticky zařízení. Dalším způsobem, jak identifikovat virus spouštěcího sektoru, je antivirový software.

Poznámka: Viry spouštěcího sektoru jsou v podstatě zastaralé a spoléhají na technologii DOS. Tyto operační systémy se pravděpodobně používají minimálně, zejména starší systémy. Najít antivirový produkt, který lze spustit na takovém operačním systému, by nyní bylo náročné. Navíc, i když je pravděpodobné, že se nikdo neobtěžoval vytvořit nové viry zaváděcího sektoru, pokud byly vypuštěny nějaké nové, nemusí být adekvátně kategorizovány, aby mohly být detekovány, pokud najdete antivirový program, který se má spustit.

Jak se zbavit viru v boot sektoru

Antivirový produkt by měl být schopen zbavit se viru spouštěcího sektoru poměrně rychle. To však předpokládá, že můžete najít antivirový produkt, který funguje na takto zastaralém systému a že dokáže detekovat virus. Modernější bootkity může být extrémně obtížné detekovat a odstranit, protože infikují oblasti paměti, které jsou obvykle omezené. Obojí lze porazit úplným přeformátováním disku. Tento proces však vymaže všechna data na disku, a proto není ideální.

Je také teoreticky možné, že bootkit infikuje samotnou základní desku, konkrétně UEFI BIOS. V tomto případě by přeflashování základní desky mělo problém vyřešit, ale nemusí, pokud virus přetrvává jinde. Zvláště pokud by virus mohl znovu infikovat obraz, na který byla základní deska flashována. 100% jistý způsob, jak odstranit jakýkoli virus, je vyhodit infikovanou součást. To je váš pevný disk, základní deska atd., ne nutně celý počítač.

Závěr

Virus spouštěcího sektoru je klasický typ z doby DOSu. Infikovali spouštěcí sektor úložného média a aktivně infikovali spouštěcí sektor jakéhokoli jiného dostupného úložného média. Spouštěcí sektor byla část úložného zařízení, kterou BIOS načetl jako první. Jako takový byl malware okamžitě spuštěn.

Protože se spoléhali na příkazy systému BIOS a DOS, vymřely, když byl představen Windows. Moderní verze je známá jako bootkit. Chová se podobně a infikuje zavaděč, který volá operační systém. To velmi ztěžuje detekci nebo odstranění, protože moderní bezpečnostní opatření chrání bootloader před snadným přístupem.