Mis on alglaadimissektori viirus?

Alglaadimissektori viirus on teatud tüüpi viirus, mis on saanud nime selle asukoha järgi. See oleks diskettide alglaadimissektor või moodsamate kõvaketaste Master Boot Record. Mõnel juhul võivad nad MBR-i asemel nakatada nimetatud kõvaketaste alglaadimissektorit.

Viiruse moodustav kood käivitub, kui kõik kettal või draivil olevad asjad käivitatakse. Teisisõnu, kui kasutaja proovib ühendada ja kasutada nakatunud kõvaketast, käivitab ta viiruse. Pärast laadimist kopeerivad peaaegu kõik need viirused end teistele saadaolevatele ja ühilduvatele ketastele ja draividele, nii et kui arvutisse oleks sisestatud neli puhast disketti ning viies nakatunud diskett lisati ja seda kasutati, nakatuvad tõenäoliselt kõik viis.

Mida alglaadimissektori viirused teevad?

Nende paigutamise viisi ja asukoha tõttu käivituvad alglaadimissektori viirused, kui seade, milles nad on, käivitatakse või vooluvõrku ühendatakse ja sisse lülitatakse. Need on BIOS-i taseme nakkused, mis tähendab, et nad ei vaja süsteemi mõjutamiseks mingit konkreetset kasutajapoolset sekkumist ( nt e-kirja avamist või veidra veebisaidi lingil klõpsamist ).

Negatiivne külg on see, et nad loodavad levimiseks DOS-i käskudele. DOS-i pole pärast Windows 95 väljaandmist kasutatud, mistõttu alglaadimissektori viiruste kasutamine vähenes kiiresti, kuna need enam ei töötanud. Algsed alglaadimissektori viirused oleksid täiesti kahjutud kaasaegses arvutis, mis ei kasuta/mõista DOS-i käske – viiruse tüüp jääb aga uues variandis alles.

Kaasaegsed alglaadimissektori viirused

Kaasaegset vastet nimetatakse sageli alglaadimiskomplektiks, mis kirjutab end MBR-i või põhikäivituskirjesse. Nii saavutavad nad alglaadimisprotsessi varajases käivitamisel sama efekti. See võimaldab neil varjata nii oma kohalolekut kui ka seda, mida nad teevad teiste protsesside taha – ja jällegi ei nõua kasutaja sekkumist peale masina käivitamise.

Alglaadimiskomplektid ei ühildu irdmeediumiga – teisisõnu, kui algsed alglaadimissektori viirused arenesid flopiketastel, siis alglaadimiskomplektid niimoodi ei tööta. Nad ei saanud näiteks USB-mälupulka nakatada – kuigi neid saab ühel salvestada ja teisaldada, ei aktiveeru need. Teised viirused võivad käivituda irdkandjatelt, näiteks mälupulgalt, kuid alglaadimiskomplektid mitte.

Milline näeb välja alglaadimissektori viirus?

Nagu iga viiruse puhul, sõltub selle väljanägemine nii sellest, kes selle lõi ja millise eesmärgi saavutamiseks see on mõeldud. Alglaadimissektori kaks viimast andmebaiti peavad alati olema vastavalt 0x55 ja 0xAA. Ilma nendeta keeldub arvuti täielikult käivitamast või kuvab vähemalt veateate. See tõrketeade – või käivitamisest keeldumine – võib olla üks mitmest alglaadimissektori viiruse indikaatorist, kuigi see ei anna konkreetset vihjet selle kohta, mida viirus võib teha.

Kuidas tuvastada alglaadimissektori viirus

Alglaadimissektori viirust saab tuvastada kahel erineval viisil. Esiteks oma tegudega. Alglaadimissektori viirus nakatab käivitamisel BIOS-i laaditud andmekandja osa. Samuti nakatab see aktiivselt kõiki teisi nakatunud arvutiga ühendatud andmekandjaid. Tasub meeles pidada, et tänapäevased alglaadimiskomplektid töötavad veidi erinevalt ega nakata seadmeid automaatselt. Teine viis alglaadimissektori viiruse tuvastamiseks on viirusetõrjetarkvara.

Märkus. Alglaadimissektori viirused on sisuliselt vananenud, tuginedes DOS-i ajastu tehnoloogiale. Neid operatsioonisüsteeme kasutatakse tõenäoliselt minimaalselt, eriti pärandsüsteeme. Sellises operatsioonisüsteemis töötava viirusetõrjetoote leidmine oleks praegu keeruline. Lisaks, kuigi on tõenäoline, et keegi pole vaevunud uusi alglaadimissektori viiruseid looma, kui mõni uus on välja lastud, ei pruugita neid piisavalt kategoriseerida, et neid tuvastada, kui leiate käivitatava viirusetõrjeprogrammi.

Kuidas vabaneda alglaadimissektori viirusest

Viirusetõrjetoode peaks suutma alglaadimissektori viirusest suhteliselt kiiresti lahti saada. See aga eeldab, et leiate viirusetõrjetoote, mis töötab nii vananenud süsteemis ja suudab viiruse tuvastada. Moodsamaid alglaadimiskomplekte võib olla äärmiselt raske tuvastada ja eemaldada, kuna need nakatavad tavaliselt piiratud mälupiirkondi. Mõlemat saab lüüa draivi täieliku ümbervormindamisega. See protsess pühib aga kõik draivil olevad andmed ja pole seega ideaalne.

Samuti on teoreetiliselt võimalik, et alglaadimiskomplekt nakatab emaplaadi ennast, täpsemalt UEFI BIOS-i. Sel juhul peaks emaplaadi värskendamine probleemi lahendama, kuid see ei pruugi juhtuda, kui viirus püsib mujal. Eriti kui viirus võib uuesti nakatada pilti, millele emaplaat välgutati. 100% kindel viis viiruse kõrvaldamiseks on nakatunud komponent minema visata. See on teie kõvaketas, emaplaat jne, mitte tingimata kogu arvuti.

Järeldus

Alglaadimissektori viirus on klassikaline DOS-i ajastu tüüp. Nad nakatasid salvestusmeediumi alglaadimissektorit ja nakatasid aktiivselt kõigi teiste saadaolevate andmekandjate alglaadimissektorit. Alglaadimissektor oli salvestusseadme osa, mille BIOS laadis esimesena. Sellisena käivitati pahavara kohe.

Kuna nad toetusid BIOS-i ja DOS-i käskudele, surid nad välja pärast Windowsi kasutuselevõttu. Kaasaegne versioon on tuntud kui alglaadimiskomplekt. See toimib sarnaselt, nakatades alglaadurit, mis kutsub operatsioonisüsteemi. See muudab selle tuvastamise või eemaldamise väga raskeks, kuna kaasaegsed turvameetmed kaitsevad alglaadurit lihtsa juurdepääsu eest.