Mikä on käynnistyssektorin virus?

Käynnistyssektorin virus on tietyntyyppinen virus, joka on nimetty sen sijainnin mukaan. Se olisi levykkeiden käynnistyssektori tai nykyaikaisempien kiintolevyjen Master Boot Record. Joissakin tapauksissa ne voivat saastuttaa mainittujen kiintolevyjen käynnistyssektorin MBR:n sijasta.

Viruksen muodostava koodi suoritetaan, kun levyllä tai asemassa oleva käynnistetään. Toisin sanoen, jos käyttäjä yrittää kytkeä ja käyttää tartunnan saaneen kiintolevyn, hän suorittaa viruksen. Kun ne on ladattu, melkein kaikki nämä virukset kopioivat itsensä muille saatavilla oleville ja yhteensopiville levykkeille ja asemille, joten jos tietokoneeseen on asetettu neljä puhdasta levykettä ja viides tartunnan saanut levyke lisättiin ja sitä käytettiin, kaikki viisi päätyvät todennäköisesti tartunnan saaneiksi.

Mitä käynnistyssektorin virukset tekevät?

Johtuen tavasta ja sijainnista, johon ne on sijoitettu, käynnistyssektorin virukset päätyvät suoriutumaan, kun laite, jossa ne ovat, käynnistetään tai liitetään ja käynnistetään. Ne ovat BIOS-tason tartuntoja, mikä tarkoittaa, että ne eivät vaadi mitään erityistä käyttäjän toimia ( kuten sähköpostin avaamista tai ovelan verkkosivustolinkin napsauttamista ) vaikuttaakseen järjestelmään.

Huono puoli on, että ne luottavat DOS-komentoihin leviäessään. DOS:a ei ole käytetty Windows 95:n julkaisun jälkeen, jolloin käynnistyssektorin virusten käyttö väheni nopeasti, koska ne eivät enää toimineet. Alkuperäiset käynnistyssektorin virukset olisivat täysin vaarattomia nykyaikaisessa tietokoneessa, joka ei käytä/ymmärrä DOS-komentoja – virustyyppi kuitenkin säilyy uudessa variantissa.

Nykyaikaiset käynnistyssektorin virukset

Nykyaikaista vastinetta kutsutaan usein "bootkitiksi", joka kirjoittaa itsensä MBR- tai Master Boot Record -tiedostoon. Tällä tavalla ne saavuttavat saman vaikutuksen kuin käynnistysprosessin varhaisessa vaiheessa. Tämän ansiosta he voivat piilottaa sekä läsnäolonsa että tekemänsä muiden prosessien taakse – eikä taaskaan vaadi muuta käyttäjän toimia kuin koneen käynnistäminen.

Bootkit eivät ole yhteensopivia siirrettävien tietovälineiden kanssa – toisin sanoen, vaikka alkuperäiset käynnistyssektorin virukset menestyivät levykkeillä, käynnistyssarjat eivät toimi näin. Ne eivät voineet esimerkiksi tartuttaa USB-tikkua – vaikka ne voidaan tallentaa ja siirtää yhdelle, ne eivät aktivoidu. Muut virukset voivat suorittaa siirrettävältä tietovälineeltä, kuten muistitikulta, mutta käynnistyssarjat eivät.

Miltä käynnistyssektorin virus näyttää?

Kuten minkä tahansa viruksen kohdalla, sen ulkonäkö riippuu sekä siitä, kuka sen loi ja mihin tarkoitukseen sillä on tarkoitus päästä. Käynnistyssektorilla on aina oltava 0x55 ja 0xAA kaksi viimeistä datatavua, vastaavasti. Ilman niitä tietokone joko kieltäytyy käynnistymästä kokonaan tai näyttää ainakin virheilmoituksen. Tämä virhesanoma – tai käynnistymisen kieltäytyminen – voi olla yksi useista käynnistyssektorin viruksen osoittimista, vaikka se ei anna mitään erityistä vihjettä siitä, mitä virus voisi tehdä.

Käynnistyssektorin viruksen tunnistaminen

Käynnistyssektorin virus voidaan tunnistaa kahdella eri tavalla. Ensinnäkin toiminnallaan. Käynnistyssektorin virus saastuttaa BIOSin lataaman tallennusvälineen osan käynnistyksen yhteydessä. Se saastuttaa myös aktiivisesti kaikki muut tartunnan saaneeseen tietokoneeseen liitetyt tallennusvälineet. On syytä muistaa, että nykyaikaiset käynnistyssarjat toimivat hieman eri tavalla eivätkä tartu laitteita automaattisesti. Toinen tapa tunnistaa käynnistyssektorin virus on virustorjuntaohjelmisto.

Huomautus: Käynnistyssektorin virukset ovat käytännössä vanhentuneita, ja ne perustuvat DOS-aikakauden tekniikkaan. Näitä käyttöjärjestelmiä käytetään todennäköisesti vähän, etenkin vanhoissa järjestelmissä. Tällaisessa käyttöjärjestelmässä toimivan virustorjuntatuotteen löytäminen olisi nyt haastavaa. Lisäksi, vaikka on todennäköistä, että kukaan ei ole vaivautunut tekemään uusia käynnistyssektorin viruksia, jos uusia on julkaistu, niitä ei ehkä ole luokiteltu riittävästi tunnistettavaksi, jos löydät virustorjuntaohjelman ajettavana.

Kuinka päästä eroon Boot Sector -viruksesta

Virustorjuntatuotteen pitäisi pystyä pääsemään eroon käynnistyssektorin viruksesta suhteellisen nopeasti. Tämä edellyttää kuitenkin, että löydät virustorjuntatuotteen, joka toimii näin vanhentuneessa järjestelmässä ja että se pystyy havaitsemaan viruksen. Nykyaikaisempia käynnistyssarjoja voi olla erittäin vaikea havaita ja poistaa, koska ne tartuttavat tyypillisesti rajoitettuja muistialueita. Molemmat voidaan voittaa alustamalla asema kokonaan uudelleen. Tämä prosessi kuitenkin pyyhkii kaikki aseman tiedot, joten se ei ole ihanteellinen.

On myös teoriassa mahdollista, että bootkit saastuttaa itse emolevyn, erityisesti UEFI BIOSin. Tässä tapauksessa emolevyn päivittämisen pitäisi ratkaista ongelma, mutta se ei välttämättä onnistu, jos virus jatkuu muualla. Varsinkin jos virus voisi saastuttaa uudelleen kuvan, johon emolevy salattiin. 100 % varma tapa poistaa kaikki virukset on heittää pois tartunnan saaneet komponentit. Se on kiintolevysi, emolevysi jne., ei välttämättä koko tietokone.

Johtopäätös

Käynnistyssektorin virus on klassinen tyyppi DOS-aikakaudelta. Ne tartuttavat tallennusvälineiden käynnistyssektorin ja aktiivisesti kaikkien muiden käytettävissä olevien tallennusvälineiden käynnistyssektorin. Käynnistyssektori oli se osa tallennuslaitetta, jonka BIOS lataa ensimmäisenä. Näin ollen haittaohjelma käynnistettiin välittömästi.

Koska he luottivat BIOS- ja DOS-komentoihin, ne kuolivat, kun Windows esiteltiin. Moderni versio tunnetaan bootkitina. Se toimii samalla tavalla ja saastuttaa käyttöjärjestelmää kutsuvan käynnistyslataimen. Tämän vuoksi sen havaitseminen tai poistaminen on erittäin vaikeaa, koska nykyaikaiset turvatoimet suojaavat käynnistyslatainta helpolta pääsyltä.