Mi az a Boot Sector vírus?

A rendszerindító szektor vírusa egy bizonyos fajta vírus, amelyet a megtalálási helyről neveztek el. Ez lenne a hajlékonylemezek rendszerindító szektora vagy a modernebb merevlemezek Master Boot Recordja. Bizonyos esetekben az MBR helyett az említett merevlemezek rendszerindító szektorát fertőzhetik meg.

A vírust alkotó kód akkor fut le, amikor a lemezen vagy a meghajtón lévő tartalma elindul. Más szóval, ha a felhasználó megpróbál csatlakoztatni és használni egy fertőzött merevlemezt, akkor végrehajtja a vírust. A betöltés után ezeknek a vírusoknak szinte mindegyike átmásolja magát más elérhető és kompatibilis lemezekre és meghajtókra, így ha egy számítógépbe négy tiszta hajlékonylemez van behelyezve, és egy ötödik fertőzöttet is hozzáadnak és használnak, valószínűleg mind az öt fertőzött lesz.

Mit csinálnak a rendszerindítási szektor vírusai?

Az elhelyezésük módja és helye miatt a rendszerindító szektor vírusai akkor futnak le, amikor az eszközt elindítják, vagy csatlakoztatják és bekapcsolják. Ezek BIOS-szintű fertőzések, ami azt jelenti, hogy nincs szükségük különösebb felhasználói beavatkozásra ( például e-mail megnyitására vagy egy fura webhely hivatkozására való kattintásra ), hogy befolyásolják a rendszert.

Hátránya, hogy a DOS parancsokra hagyatkoznak a terjedéshez. A DOS-t a Windows 95 megjelenése óta nem használták, ekkor a rendszerindító szektor vírusainak használata gyorsan csökkent, mivel már nem működtek. Az eredeti rendszerindító szektor vírusai teljesen ártalmatlanok lennének egy modern számítógépben, amely nem használja/érti a DOS parancsokat – azonban a vírus típusa megmarad egy új változatban.

Modern Boot Sector vírusok

A modern megfelelőjét gyakran „bootkit”-nek nevezik, amely beírja magát az MBR-be vagy a Master Boot Recordba. Így ugyanazt a hatást érik el, mintha a rendszerindítási folyamat korai szakaszában elindulnának. Ez lehetővé teszi számukra, hogy mind a jelenlétüket, mind pedig azt, amit csinálnak, elrejtsék más folyamatok mögé – és megint csak a gép indításakor nincs szükség felhasználói beavatkozásra.

A bootkit-ek nem kompatibilisek a cserélhető adathordozókkal – más szóval, míg az eredeti rendszerindító szektor vírusai hajlékonylemezeken virágoztak, a bootkit-ek nem így működnek. Nem tudtak például megfertőzni egy USB-meghajtót – bár tárolhatók és átvihetők egyen, nem aktiválódnának. Más vírusok futtathatók cserélhető adathordozóról, például pendrive-ról, de a bootkit nem.

Hogyan néz ki a rendszerindító szektor vírusa?

Mint minden vírus esetében, ez is attól függ, hogy ki hozta létre, és milyen célt szolgál. A rendszerindító szektorban mindig 0x55 és 0xAA kell lennie az utolsó két adatbájtnak. Ezek nélkül a számítógép vagy megtagadja a teljes rendszerindítást, vagy legalább hibaüzenetet jelenít meg. Ez a hibaüzenet – vagy a rendszerindítás megtagadása – a rendszerindító szektor vírusának egyik jelzője lehet, bár nem ad különösebb támpontot arra vonatkozóan, hogy a vírus mit csinálhat.

Hogyan lehet azonosítani a rendszerindítási szektor vírusát

A rendszerindító szektor vírusa két különböző módon azonosítható. Először is a tettei alapján. A rendszerindító szektor vírusa megfertőzi az adathordozónak azt a részét, amelyet a BIOS tölt be rendszerindításkor. Aktívan megfertőzi a fertőzött számítógéphez csatlakoztatott összes többi adathordozót is. Érdemes megjegyezni, hogy a modern bootkit-ek kissé eltérően működnek, és nem fertőzik meg automatikusan az eszközöket. A másik módszer a rendszerindító szektor vírusának azonosítására a víruskereső szoftver.

Megjegyzés: A rendszerindító szektor vírusai lényegében elavultak, a DOS-korszak technológiájára támaszkodnak. Ezeket az operációs rendszereket valószínűleg minimálisan használják, különösen a régi rendszereket. Most kihívást jelentene egy ilyen operációs rendszeren futtatható víruskereső termék megtalálása. Ezen túlmenően, bár valószínű, hogy senki sem foglalkozott azzal, hogy új rendszerindító szektor vírusokat készítsen, ha újak megjelentek, előfordulhat, hogy nincsenek megfelelően kategorizálva ahhoz, hogy észlelni lehessen őket, ha talál egy víruskereső programot.

Hogyan lehet megszabadulni a Boot Sector vírusától

Egy víruskereső terméknek képesnek kell lennie arra, hogy viszonylag gyorsan megszabaduljon a rendszerindító szektor vírusától. Ez azonban feltételezi, hogy talál olyan víruskereső terméket, amely ilyen elavult rendszeren működik, és képes észlelni a vírust. A modernebb indítókészleteket rendkívül nehéz észlelni és eltávolítani, mivel általában korlátozott memóriaterületeket fertőznek meg. Mindkettő legyőzhető a meghajtó teljes újraformázásával. Ez a folyamat azonban törli az összes adatot a meghajtóról, ezért nem ideális.

Elméletileg az is lehetséges, hogy a bootkit magát az alaplapot, különösen az UEFI BIOS-t megfertőzi. Ebben az esetben az alaplap újratöltése megoldja a problémát, de lehet, hogy nem, ha a vírus máshol is jelen van. Főleg, ha a vírus újra megfertőzheti azt a képet, amelyre az alaplapot flashelték. A vírusok eltávolításának 100%-ban biztos módja a fertőzött komponens kidobása. Ez a merevlemez, az alaplap stb., nem feltétlenül az egész számítógép.

Következtetés

A rendszerindító szektor vírusa a DOS-korszak klasszikus típusa. Megfertőzték az adathordozók rendszerindító szektorát, és aktívan megfertőzték minden más elérhető adathordozó rendszerindító szektorát. A rendszerindító szektor a tárolóeszköz azon része volt, amelyet a BIOS először betöltött. Így a kártevő azonnal elindult.

Mivel a BIOS- és a DOS-parancsokra hagyatkoztak, a Windows bevezetésekor kihaltak. A modern változat bootkit néven ismert. Hasonlóan jár el, megfertőzve az operációs rendszert hívó rendszertöltőt. Ez nagyon megnehezíti az észlelést vagy eltávolítást, mivel a modern biztonsági intézkedések megvédik a rendszertöltőt a könnyű hozzáféréstől.