Kaj je virus zagonskega sektorja?

Virus zagonskega sektorja je posebna vrsta virusa, poimenovana po lokaciji, na kateri se nahaja. To bi bil zagonski sektor disket ali glavni zagonski zapis sodobnejših trdih diskov. V nekaterih primerih lahko okužijo zagonski sektor omenjenih trdih diskov namesto MBR.

Koda, ki sestavlja virus, se zažene, ko se zažene karkoli na disku ali pogonu. Z drugimi besedami, če uporabnik poskuša priključiti in uporabiti okužen trdi disk, izvede virus. Ko so naloženi, se bodo skoraj vsi ti virusi kopirali na druge razpoložljive in združljive diske in pogone, tako da če bi imel računalnik vstavljene štiri čiste diskete in bi dodali in uporabili peto okuženo, bi bilo vseh pet verjetno okuženih.

Kaj počnejo virusi zagonskega sektorja?

Zaradi načina in lokacije, kamor so nameščeni, se virusi zagonskega sektorja na koncu izvedejo, ko se naprava, na kateri so, zažene ali priključi in vklopi. Gre za okužbe na ravni BIOS-a, kar pomeni, da ne zahtevajo nobene posebne interakcije uporabnika ( na primer odpiranja e-pošte ali klikanja povezave na napačno spletno stran ), da bi vplivale na sistem.

Slaba stran je, da se za širjenje zanašajo na ukaze DOS. DOS ni bil uporabljen od izdaje sistema Windows 95, takrat pa je uporaba virusov zagonskega sektorja hitro upadla, saj niso več delovali. Prvotni virusi zagonskega sektorja bi bili v sodobnem računalniku, ki ne uporablja/razume ukazov DOS, popolnoma neškodljivi – vendar se vrsta virusa ohranja v novi različici.

Sodobni virusi zagonskega sektorja

Sodobni ekvivalent se pogosto imenuje »bootkit«, ki se zapiše v MBR ali glavni zagonski zapis. Na ta način dosežejo enak učinek zagona zgodaj v procesu zagona. To jim omogoča, da skrijejo svojo prisotnost in to, kar počnejo za drugimi procesi – in spet ne zahteva nobene interakcije uporabnika, razen zagona stroja.

Zagonski kompleti niso združljivi z izmenljivimi mediji – z drugimi besedami, medtem ko so prvotni virusi zagonskega sektorja uspevali na disketah, zagonski kompleti ne delujejo tako. Ne morejo denimo okužiti ključka USB – čeprav jih je mogoče shraniti in prenesti nanj, se ne bi aktivirali. Drugi virusi se lahko izvajajo iz izmenljivih medijev, kot so bliskovni pogoni, zagonski kompleti pa ne.

Kako je videti virus zagonskega sektorja?

Kot pri vsakem virusu je tudi to, kako izgleda, odvisno od tega, kdo ga je ustvaril in kakšen namen naj bi dosegel. Zagonski sektor mora vedno imeti 0x55 oziroma 0xAA kot zadnja dva bajta podatkov. Brez njih se bo računalnik v celoti zavrnil zagon ali vsaj prikazal sporočilo o napaki. To sporočilo o napaki – ali zavrnitev zagona – je lahko eden od številnih indikatorjev virusa zagonskega sektorja, čeprav ne daje nobenega posebnega namiga o tem, kaj virus morda počne.

Kako prepoznati virus zagonskega sektorja

Virus zagonskega sektorja je mogoče prepoznati na dva različna načina. Prvič, s svojimi dejanji. Virus zagonskega sektorja okuži del pomnilniškega medija, ki ga naloži BIOS ob zagonu. Prav tako aktivno okuži vse druge pomnilniške medije, priključene na okuženi računalnik. Ne smemo pozabiti, da sodobni zagonski kompleti delujejo nekoliko drugače in ne okužijo samodejno naprav. Drugi način prepoznavanja virusa zagonskega sektorja je protivirusna programska oprema.

Opomba: Virusi zagonskega sektorja so v bistvu zastareli in temeljijo na tehnologiji iz obdobja DOS. Ti operacijski sistemi bodo verjetno minimalno uporabljeni, zlasti podedovani sistemi. Iskanje protivirusnega izdelka, ki lahko deluje na takem operacijskem sistemu, bi bilo zdaj izziv. Poleg tega, čeprav je verjetno, da se nihče ni potrudil narediti novih virusov zagonskega sektorja, če so bili izdani novi, morda ne bodo ustrezno kategorizirani, da bi jih zaznali, če najdete protivirusni program za zagon.

Kako se znebiti virusa zagonskega sektorja

Protivirusni izdelek bi se moral relativno hitro znebiti virusa zagonskega sektorja. To pa predpostavlja, da lahko najdete protivirusni izdelek, ki deluje na tako zastarelem sistemu in da lahko zazna virus. Sodobnejše zagonske komplete je zelo težko odkriti in odstraniti, saj okužijo območja pomnilnika, ki so običajno omejena. Oboje je mogoče odpraviti s popolnim preoblikovanjem pogona. Ta postopek pa izbriše vse podatke na pogonu in zato ni idealen.

Prav tako je teoretično možno, da bootkit okuži samo matično ploščo, natančneje UEFI BIOS. V tem primeru bi morala težavo rešiti ponovna namestitev matične plošče, vendar morda ne, če virus še vedno obstaja drugje. Še posebej, če bi virus lahko znova okužil sliko, na katero je bila preslikana matična plošča. 100-odstotno zanesljiv način za odstranitev katerega koli virusa je, da zavržete okuženo komponento. To je vaš trdi disk, matična plošča itd., ne nujno celoten računalnik.

Zaključek

Virus zagonskega sektorja je klasičen tip iz obdobja DOS. Okužili so zagonski sektor pomnilniškega medija in aktivno okužili zagonski sektor vseh drugih razpoložljivih pomnilniških medijev. Zagonski sektor je bil del pomnilniške naprave, ki ga je najprej naložil BIOS. Kot taka je bila zlonamerna programska oprema takoj lansirana.

Ker so se zanašali na ukaze BIOS in DOS, so izumrli, ko je bil uveden Windows. Sodobna različica je znana kot bootkit. Deluje podobno in okuži zagonski nalagalnik, ki kliče operacijski sistem. Zaradi tega ga je zelo težko zaznati ali odstraniti, saj sodobni varnostni ukrepi ščitijo zagonski nalagalnik pred enostavnim dostopom.