Čo je vírus zavádzacieho sektora?

Vírus zavádzacieho sektora je konkrétny druh vírusu pomenovaný podľa miesta, kde sa nachádza. To by bol boot sektor diskiet alebo Master Boot Record modernejších pevných diskov. V niektorých prípadoch môžu infikovať boot sektor uvedených pevných diskov namiesto MBR.

Kód, ktorý tvorí vírus, sa spustí, keď sa spustí čokoľvek, čo je na disku alebo jednotke. Inými slovami, ak sa používateľ pokúsi pripojiť a použiť infikovaný pevný disk, spustí vírus. Po načítaní sa takmer všetky tieto vírusy skopírujú na iné dostupné a kompatibilné disky a jednotky, takže ak by mal počítač vložené štyri čisté diskety a pridala sa a použila piata infikovaná, všetkých päť by pravdepodobne skončilo infikovaných.

Čo robia vírusy zavádzacieho sektora?

Kvôli spôsobu a umiestneniu, v ktorom sú vírusy umiestnené, sa vírusy v zavádzacom sektore skončia, keď sa zariadenie, na ktorom sú, spustia alebo zapojí a zapne. Ide o infekcie na úrovni systému BIOS, čo znamená, že na ovplyvnenie systému nevyžadujú žiadnu konkrétnu interakciu používateľa ( napríklad otvorenie e-mailu alebo kliknutie na nebezpečný odkaz na webovú stránku ).

Nevýhodou je, že sa pri šírení spoliehajú na príkazy DOS. DOS sa nepoužíval od vydania Windows 95, kedy používanie vírusov v zavádzacom sektore rapídne kleslo, pretože už nefungovali. Pôvodné vírusy boot sektora by boli v modernom počítači, ktorý nepoužíva/nerozumie príkazom DOSu, úplne neškodné – typ vírusu však pretrváva aj v novom variante.

Moderné vírusy zavádzacieho sektora

Moderný ekvivalent sa často nazýva „bootkit“, ktorý sa sám zapíše do MBR alebo Master Boot Record. Týmto spôsobom dosahujú rovnaký efekt spúšťania na začiatku procesu zavádzania. To im umožňuje skryť svoju prítomnosť aj to, čo robia, za inými procesmi – a opäť to nevyžaduje žiadnu interakciu používateľa okrem spustenia počítača.

Bootkity nie sú kompatibilné s vymeniteľnými médiami – inými slovami, kým pôvodné vírusy boot sektora na disketách prosperovali, bootkity takto nefungujú. Nemohli napríklad infikovať USB kľúč – hoci sa naň dajú uložiť a preniesť, neaktivovali by sa. Iné vírusy sa môžu spúšťať z vymeniteľných médií, ako sú napríklad flash disky, ale bootkity nie.

Ako vyzerá vírus zavádzacieho sektora?

Ako pri každom víruse, to, ako vyzerá, závisí od toho, kto ho vytvoril a aký účel má dosiahnuť. Zavádzací sektor musí mať vždy 0x55 a 0xAA ako posledné dva bajty údajov. Bez nich počítač buď úplne odmietne zaviesť systém, alebo aspoň zobrazí chybové hlásenie. Toto chybové hlásenie – alebo odmietnutie zavedenia systému – môže byť jedným z niekoľkých indikátorov vírusu zavádzacieho sektora, hoci neposkytuje žiadnu konkrétnu stopu o tom, čo môže vírus robiť.

Ako identifikovať vírus zavádzacieho sektora

Vírus zavádzacieho sektora možno identifikovať dvoma rôznymi spôsobmi. Po prvé, svojimi činmi. Vírus zavádzacieho sektora infikuje časť pamäťového média načítaného systémom BIOS pri zavádzaní systému. Aktívne infikuje aj všetky ostatné pamäťové médiá pripojené k infikovanému počítaču. Je potrebné pripomenúť, že moderné bootkity fungujú trochu inak a neinfikujú automaticky zariadenia. Ďalším spôsobom, ako identifikovať vírus zavádzacieho sektora, je antivírusový softvér.

Poznámka: Vírusy zavádzacieho sektora sú v podstate zastarané a spoliehajú sa na technológiu z éry DOS. Tieto operačné systémy sa pravdepodobne používajú minimálne, najmä staršie systémy. Nájsť antivírusový produkt, ktorý by mohol bežať na takomto operačnom systéme, by teraz bolo náročné. Okrem toho, hoci je pravdepodobné, že sa nikto neobťažoval vytvárať nové vírusy zavádzacieho sektora, ak boli vydané nejaké nové, nemusia byť primerane kategorizované na to, aby ich bolo možné zistiť, ak nájdete antivírusový program, ktorý sa má spustiť.

Ako sa zbaviť vírusu zavádzacieho sektora

Antivírusový produkt by mal byť schopný pomerne rýchlo zbaviť vírus boot sektora. To však predpokladá, že nájdete antivírusový produkt, ktorý funguje na takomto zastaranom systéme a že dokáže detekovať vírus. Modernejšie bootkity môže byť mimoriadne ťažké odhaliť a odstrániť, pretože infikujú oblasti pamäte, ktoré sú zvyčajne obmedzené. Oboje možno poraziť úplným preformátovaním disku. Tento proces však vymaže všetky údaje na disku, a preto nie je ideálny.

Je tiež teoreticky možné, že bootkit infikuje samotnú základnú dosku, konkrétne UEFI BIOS. V tomto prípade by problém mal vyriešiť preflashovanie základnej dosky, ale nemusí, ak vírus pretrváva inde. Najmä ak by vírus mohol reinfikovať obraz, na ktorý bola flashovaná základná doska. 100% istý spôsob, ako odstrániť akýkoľvek vírus, je vyhodiť infikovaný komponent. To je váš pevný disk, základná doska atď., nie nevyhnutne celý počítač.

Záver

Vírus boot sektora je klasický typ z éry DOS. Infikovali boot sektor úložného média a aktívne infikovali boot sektor akéhokoľvek iného dostupného úložného média. Zavádzací sektor bola časť úložného zariadenia, ktorú BIOS načítal ako prvú. Ako taký bol malvér okamžite spustený.

Keďže sa spoliehali na príkazy systému BIOS a DOS, po uvedení systému Windows zanikli. Moderná verzia je známa ako bootkit. Funguje podobne a infikuje zavádzač, ktorý volá operačný systém. To veľmi sťažuje detekciu alebo odstránenie, pretože moderné bezpečnostné opatrenia chránia bootloader pred ľahkým prístupom.