В чем разница между файловым вирусом и загрузочным вирусом
Обновлено: 21.11.2024
Этот контент был заархивирован и больше не поддерживается Университетом Индианы. Информация здесь может быть неточной, а ссылки могут быть недоступны или ненадежны.
Что делают вирусы загрузочного сектора
Вирусы загрузочного сектора заражают или заменяют своим кодом загрузочный сектор DOS или главную загрузочную запись (MBR) ПК. MBR — это небольшая программа, которая запускается при каждом включении компьютера. Он управляет последовательностью загрузки и определяет, с какого раздела загружается компьютер. MBR обычно находится в первом секторе жесткого диска.
Поскольку MBR запускается каждый раз при запуске компьютера, вирус загрузочного сектора чрезвычайно опасен. После заражения загрузочного кода на диске вирус будет загружаться в память при каждом запуске. Из памяти загрузочный вирус может распространиться на каждый диск, который читает система. Вирусы загрузочного сектора, как правило, очень трудно удалить, так как большинство антивирусных программ не могут очистить MBR во время работы Windows. В большинстве случаев для правильного удаления вируса из загрузочного сектора требуются загрузочные антивирусные диски, такие как аварийный набор Symantec/Norton AntiVirus (SAV/NAV).
Некоторые распространенные вирусы загрузочного сектора включают Monkey, NYB (также известный как B1), Stoned и Form.
Симптомы
Вирус загрузочного сектора может вызывать различные проблемы с загрузкой или получением данных. В некоторых случаях данные исчезают из целых разделов. В других случаях компьютер внезапно становится нестабильным. Часто зараженный компьютер не запускается или не находит жесткий диск. Кроме того, сообщения об ошибках, такие как "Неверный системный диск", могут стать распространенными.
Как они распространяются
Вирусы загрузочного сектора обычно распространяются через зараженные дискеты. Раньше это обычно были загрузочные диски, но сейчас это не так. Дискета не обязательно должна быть загрузочной для передачи вируса загрузочного сектора. Любой диск может стать причиной заражения, если он находится в дисководе при загрузке или выключении компьютера. Вирус также может распространяться по сети при загрузке файлов и вложениях файлов электронной почты. В большинстве случаев все дискеты с возможностью записи, используемые на зараженном ПК, сами заразятся вирусом загрузочного сектора.
В прошлом настройка компьютера на загрузку сначала с диска C: (жесткий), а затем с диска A: (дискета) или вообще никогда на загрузку с диска A: была разумной мерой предосторожности против загрузочного сектора. вирусы. Это уже не так, поскольку вирусы теперь более опасны и распространяются другими путями.
Вы можете настроить некоторые параметры CMOS, чтобы предотвратить запись в загрузочный сектор жесткого диска. Это может быть полезно против вирусов загрузочного сектора. Однако, если вам нужно переустановить или обновить операционную систему, вам придется изменить настройку, чтобы снова сделать MBR доступной для записи.
Для получения дополнительной информации о вирусах загрузочного сектора и вирусах в целом см.:
Меры предосторожности и устранение повреждений
Профилактика обычно заключается в бдительности и недопущении контакта с неизвестными дисками. Следующие рекомендации помогут защитить ваши системы и данные:
- Лучшая защита от вирусов загрузочного сектора такая же, как и от вирусов в целом: хорошая антивирусная программа с актуальными описаниями вирусов. Антивирусные программы выполняют две ключевые функции:
- Поиск и удаление вирусов в файлах на дисках
- Контролируйте работу вашего компьютера на наличие вирусоподобной активности и ищите известные действия конкретных вирусов или общую подозрительную активность
Примечание. Управление информационной безопасности университета (UISO) рекомендует использовать последнюю версию программного обеспечения Symantec для защиты от вирусов (бесплатно для студентов, преподавателей и сотрудников IU через IUware) для вашей операционной системы; См. АРХИВ: безопасное обновление программного обеспечения для обеспечения безопасности в Windows 7 Обязательно выполняйте безопасное обновление, ежедневно обновляйте определения вирусов и еженедельно сканируйте компьютер. Инструкции см. в справке по программному обеспечению.
Примечание. Если вы создаете резервную копию файла, который уже заражен вирусом, вы можете повторно заразить систему, восстановив файлы из резервных копий. Перед использованием проверяйте файлы резервных копий с помощью программного обеспечения для сканирования на вирусы.
Часть этой информации была адаптирована из статьи в публикации UITS Computing Times Online.
Вирус загрузочного сектора — это тип вируса, который заражает загрузочный сектор гибких дисков или главную загрузочную запись (MBR) жестких дисков (некоторые заражают загрузочный сектор жесткого диска вместо MBR). Зараженный код запускается, когда система загружается с зараженного диска, но после загрузки он заражает другие дискеты при доступе к ним на зараженном компьютере. Хотя вирусы загрузочного сектора заражают на уровне BIOS, они используют команды DOS для распространения на другие дискеты.По этой причине они начали исчезать со сцены после появления Windows 95 (которая мало использовала инструкции DOS). Сегодня существуют программы, известные как «буткиты», которые записывают свой код в MBR как средство ранней загрузки в процессе загрузки, а затем скрывают действия вредоносных программ, работающих под Windows. Однако они не предназначены для заражения съемных носителей.
Единственным абсолютным критерием для загрузочного сектора является то, что он должен содержать 0x55 и 0xAA в качестве последних двух байтов. Если эта подпись отсутствует или повреждена, компьютер может отобразить сообщение об ошибке и отказаться загружаться. Проблемы с сектором могут быть вызваны повреждением физического диска или наличием вируса в загрузочном секторе.
Как распространяются вирусы загрузочного сектора и как от них избавиться
Компьютерные вирусы загрузочного сектора чаще всего распространяются с помощью физических носителей. Зараженная дискета или USB-накопитель, подключенный к компьютеру, будет передаваться при чтении VBR диска, а затем изменять или заменять существующий загрузочный код. В следующий раз, когда пользователь попытается загрузить свой рабочий стол, вирус будет загружен и немедленно запущен как часть основной загрузочной записи. Вложения электронной почты также могут содержать код загрузочного вируса. При открытии эти вложения заражают главный компьютер и могут содержать инструкции по отправке дополнительных пакетов электронной почты в список контактов пользователя. Улучшения в архитектуре BIOS уменьшили распространение загрузочных вирусов за счет включения опции предотвращения любых изменений в первом секторе жесткого диска компьютера.
Удаление вируса из загрузочного сектора может быть затруднено, поскольку он может зашифровать загрузочный сектор. Во многих случаях пользователи могут даже не знать, что они заражены вирусом, пока они не запустят программу антивирусной защиты или сканирование на наличие вредоносных программ. В результате пользователям крайне важно полагаться на постоянно обновляемые программы защиты от вирусов, которые имеют большой реестр загрузочных вирусов и данные, необходимые для их безопасного удаления. Если вирус невозможно удалить из-за шифрования или чрезмерного повреждения существующего кода, возможно, потребуется переформатирование жесткого диска для устранения заражения.
Вирусы загрузочного сектора – это тип вредоносных программ, которые заражают загрузочный раздел системы или главную загрузочную запись (MBR) жесткого диска. Загрузочный сектор — это раздел диска, содержащий код и данные, необходимые для запуска операционной системы (ОС) компьютера. Пока компьютер загружается и до того, как защитное ПО активируется, вирус выполняет свой вредоносный код.
Как заражаются компьютеры?
Компьютеры заражаются при загрузке с зараженного диска. Вирус заражает компьютер на базовом уровне системы ввода-вывода (BIOS), используя команды дисковой операционной системы (DOS) для распространения на другие диски. После появления Windows 95 загрузочные вирусы на некоторое время отошли на второй план из-за ограниченного использования DOS-инструкций. Однако новые программы теперь записывают код в MBR, чтобы загружаться в начале процесса запуска и скрывать действия вредоносного ПО.
MBR находится в первом секторе жесткого диска и запускается при каждом включении компьютера. Это означает, что даже если вы попытаетесь удалить вирусы загрузочного сектора с помощью антивируса, они загрузятся обратно в память вашего компьютера при следующей загрузке.
Эти вирусы, происходящие из вашего загрузочного сектора, затем распространяются на все диски вашего компьютера. Это затрудняет удаление вирусов из загрузочного сектора.
Кроме того, вложения электронной почты могут содержать код загрузочного вируса, который может заразить целевой компьютер, а также другие компьютеры в общей сети. При открытии эти вложения заражают хост-компьютер и могут содержать инструкции по отправке дополнительных пакетов электронной почты в список контактов человека.
Симптомы вируса загрузочного сектора
Пользователи вряд ли узнают, есть ли у них вирус в загрузочном секторе, пока не запустят антивирусное решение или не проведут проверку на наличие вредоносных программ. Существует несколько различных признаков того, что компьютер был заражен вирусом загрузочного сектора. Вот несколько примеров:
- Вирусы загрузочного сектора, как и большинство других, могут замедлять работу компьютера.
- Файлы могут начать шифроваться или вообще исчезнуть
- Вирусы загрузочного сектора могут привести к тому, что компьютер не сможет загрузиться, он может загрузиться с синим экраном, или ОС не запустится, или может появиться черный экран с сообщением об ошибке
Предотвращение вирусов в загрузочном секторе
Удаление вирусов из загрузочного сектора может быть сложной задачей, однако проще предотвратить их заражение вашего компьютера. Наиболее распространенный способ распространения этих вирусов — через общие съемные носители.Прежде чем вставлять любое съемное запоминающее устройство в компьютер, убедитесь, что оно не заражено вредоносным ПО. Вирус может не быть установлен на вашем устройстве при подключении носителя, но если вы оставите его подключенным при включении устройства, ваш жесткий диск будет заражен.
- Используйте надежное и актуальное антивирусное программное обеспечение для сканирования устройства на предмет подозрительной активности.
- При использовании съемных запоминающих устройств, таких как USB-накопители, сканируйте их с помощью антивирусного инструмента перед доступом к каким-либо хранящимся на них файлам.
- Избегайте использования устройств хранения данных, содержимое которых вам неизвестно.
- Не загружайте файлы из писем, которых вы не ожидали
- Следите за сетью, к которой вы подключены, вирусы загрузочного сектора могут передаваться между компьютерами в общей сети
- Не загружайте приложения с сайтов, которые требуют использования собственного менеджера загрузки.
Удаление вирусов из загрузочного сектора
У вас всегда должно быть установлено антивирусное программное обеспечение для удаления вредоносных файлов; вы также должны убедиться, что программное обеспечение будет защищать загрузочный сектор. Если вирус невозможно удалить из-за шифрования или чрезмерного повреждения существующего кода, возможно, для его устранения потребуется переформатирование жесткого диска.
Как Securiwiser может помочь?
Securiwiser предлагает комплексное сканирование ваших устройств, сети и систем, чтобы убедиться, что вы защищены от киберугроз и что никакое аномальное поведение не ускользнет от внимания. Ваше состояние безопасности будет проанализировано, и каждый аспект будет оценен в зависимости от его производительности, поэтому вы всегда будете знать, что может потребовать внимания. Если ваши системы каким-либо образом скомпрометированы, securiwiser отправит подробный отчет о сканировании и его результатах, а также сообщит вам, что нужно сделать, чтобы устранить проблему.
Загрузочный сектор — это зарезервированный раздел диска, содержащий код и данные, необходимые для запуска операционной системы (ОС) компьютера. Вирус загрузочного сектора — это тип вредоносного ПО, которое заражает загрузочный раздел системы или главную загрузочную запись (MBR) жесткого диска. Во время запуска и перед запуском программного обеспечения безопасности вирус выполняет вредоносный код. После заражения компьютера вирус загрузочного сектора попытается заразить каждый диск, к которому осуществляется доступ в зараженной системе.
Облако Acronis Cyber Protect
Как компьютеры заражаются вирусом загрузочного сектора?
Компьютер пользователя заражается вирусом загрузочного сектора при запуске машины с зараженной дискеты или USB-накопителя. Вложения электронной почты также могут содержать вирус загрузочного сектора, который также может заразить другие компьютеры в сети.
Как предотвратить заражение загрузочного сектора вирусом?
Лучший способ предотвратить загрузочный вирус — остановить установку начальной полезной нагрузки. Хорошее решение для защиты от вредоносных программ или кибербезопасности, которое сканирует загрузочный сектор, помещает в карантин и удаляет вредоносные файлы, является одним из лучших способов остановить этот тип вредоносного ПО. После заражения компьютера пользователь может отформатировать свой диск и восстановить ОС, приложения и данные с помощью полной резервной копии образа, созданной до заражения. Вы также можете попробовать программное обеспечение для удаления вирусов из загрузочного сектора.
Симптомы заражения вирусом загрузочного сектора
Во многих случаях пользователь может не знать, что он заражен вирусом загрузочного сектора, пока не запустит антивирусное решение или сканирование на наличие вредоносных программ. Кроме того, компьютер может начать тормозить, файлы могут внезапно исчезнуть или начать шифроваться. Несколько других возможных симптомов, которые делают этот вирус уникальным, заключаются в том, что компьютер не загружается, загружается с синим экраном или ОС не запускается, а пользователь видит только текст на черном экране с сообщением об ошибке, что загрузочное устройство не может быть найдено. Это происходит, когда вирус удаляет или изменяет необходимые загрузочные файлы.
Acronis Cyber Protect Cloud защищает системы ваших клиентов
Acronis Cyber Protect Cloud – это единственное решение, изначально объединяющее средства кибербезопасности, защиты данных и управления для защиты конечных точек, систем и данных. Эта синергия устраняет сложность, поэтому поставщики услуг могут лучше защищать клиентов при снижении затрат. Он обеспечивает:
- Лучшее в отрасли резервное копирование и восстановление с полным резервным копированием и восстановлением на уровне файлов и образов для защиты рабочих нагрузок на более чем 20 платформах — с почти нулевыми RPO и RTO.
- Основная киберзащита без дополнительных затрат с помощью расширенного механизма поведенческого обнаружения на основе машинного интеллекта (MI), который останавливает вредоносное ПО, включая вирусы загрузочного сектора, программы-вымогатели и атаки нулевого дня на конечные точки и системы вашего клиента.
- Управление защитой, созданное для MSP, чтобы обеспечить тщательное расследование после инцидента и надлежащее устранение, а также снизить затраты за счет сбора цифровых доказательств и их хранения в безопасном центральном хранилище.
Чтобы улучшить ваши услуги и обеспечить безопасность и защиту систем и данных ваших клиентов, Acronis предлагает дополнительные расширенные пакеты, обеспечивающие еще большую защиту от вредоносных программ, включая вирусы загрузочного сектора.
Advanced Security предлагает комплексное решение для защиты от вредоносных программ, заменяющее неэффективный устаревший антивирус интегрированной киберзащитой, чтобы предотвратить больше киберугроз для клиентов с меньшими ресурсами.
Advanced Email Security дополняет неэффективное устаревшее антивирусное программное обеспечение интегрированной киберзащитой для блокировки угроз, связанных с электронной почтой, включая спам, фишинг, компрометацию корпоративной электронной почты (BEC), вредоносное ПО, сложные постоянные угрозы (APT) и уязвимости нулевого дня до того, как они исчезнут. -пользовательские почтовые ящики Microsoft 365, Google Workspace, Open-Xchange или локальные почтовые ящики.
Acronis Cyber Protect Cloud предоставляет MSP единое интегрированное решение, которое устраняет сложность, чтобы вы могли лучше защищать клиентов, снижать расходы и повышать прибыльность.
<р>2. Репликация является преднамеренной, а не просто побочным эффектом. <р>3. По крайней мере, некоторые из репликантов также являются вирусами по этому определению. <р>4. Вирус должен прикрепиться к хосту в том смысле, что выполнение хоста подразумевает выполнение вируса.Итак, мы видим, что определение компьютерного вируса очень близко соответствует определению биологического вируса.
Какие основные типы вирусов существуют? Наверх
Существует несколько основных типов вирусов: вирусы загрузочного сектора, файловые инфекторы и макровирусы. Согласно нашему определению, черви технически не являются вирусами, поскольку они не атакуют хост-программу, но поскольку они стали настолько распространенными, мы обсудим их здесь.Вирус загрузочного сектора – это вирус, находящийся в части диска компьютера, который читается только при загрузке компьютера, когда вирус загружается в память. Вирусы загрузочного сектора часто распространяются через гибкие диски, у которых также есть загрузочный сектор, который может быть заражен. Если зараженная дискета остается в дисководе при загрузке компьютера, вирус загружается в память и может распространиться на другие диски и компьютеры. Известным вирусом загрузочного сектора является вирус Микеланджело.
Файловые инфекторы, как следует из их названия, «заражают» файлы на компьютере, присоединяясь к исполняемым файлам. Они делают это либо добавляя свой код к файлу, либо перезаписывая части кода файла. Это имя также используется для описания вирусов, которые не прикрепляются к файлу, а ассоциируют себя с именем файла. Вирус «Ромео и Джульетта», который недавно распространился по университетскому городку, имеет часть, заражающую файлы. Этот файловый заразитель берет файлы с определенными расширениями, такими как .jpg или .doc, создает вирусный файл с тем же именем, но с расширением .exe, чтобы пользователь мог непреднамеренно запустить код вируса, когда он пытается открыть один из своих файлов. документы.
Многочастный вирус сочетает в себе черты вируса загрузочного сектора и вируса-заражателя файлов. В большинстве случаев зараженный файл используется для заражения загрузочного сектора.
Макровирусы появились относительно недавно, но, по оценкам экспертов, они являются наиболее распространенным типом вирусов. Макрос — это набор инструкций в приложении, которые можно использовать для автоматизации задач. Хотя это звучит относительно безобидно, макросы часто могут выполнять системные операции, такие как создание или удаление файлов или запись в уже существующие файлы, и, таким образом, могут нанести большой ущерб. Большинство макросов написано для Microsoft Word и Excel. Они часто работают, заражая шаблон для нового документа. Поэтому каждый раз, когда создается новый документ, вирус реплицируется и запускается. Макросы особенно опасны, потому что они часто могут быть кроссплатформенными, в отличие от большинства вирусов, которые написаны только для ПК.
Черви распространяются по компьютерным сетям и отличаются от вирусов тем, что у них нет основного файла. Однако сегодня черви обычно распространяются через электронную почту. Часто к электронному письму прилагается вложение, и когда пользователь открывает вложение, червь запускается. Черви обычно пытаются рассылать свои копии всем в адресных книгах пользователей. Эта тактика гарантирует, что червь будет распространяться, поскольку многие неосведомленные пользователи компьютеров откроют любое вложение, если оно отправлено кем-то, кого они знают. Как правило, вложению дается имя, предназначенное для того, чтобы обмануть пользователя, заставив его думать, что он открывает файл другого типа. Например, недавний вирус «Анна Курникова» использовал вложение с именем «AnnaKournikova.jpg.vbs». Некоторые пользователи не заметят расширение .vbs (обозначающее скрипт Visual Basic) и откроют вложение, ожидая увидеть фотографию Анны Курниковой.Однако еще более пугает то, что теперь существуют вирусы, которые могут запускаться на компьютере пользователя, даже если пользователь не открывает вложение. Эти вирусы используют функцию многих программ электронной почты для отображения встроенного HTML-кода в теле сообщения электронной почты и используют дыру в безопасности в Microsoft Outlook и Outlook Express, которая позволяет копировать файлы на компьютер пользователя без его участия. знания или согласия. Вирус Ромео и Джульетты является таким вирусом. Однако пользователи могут защитить себя от этих вирусов, установив исправления безопасности. Помимо уничтожения файлов на зараженных компьютерах, некоторые черви просто рассылают по электронной почте столько своих копий, что это приводит к выходу из строя почтовых серверов, что доставляет большие неудобства школам и компаниям.
Что такое стелс-вирус? А как насчет полиморфного вируса? Какие еще формы вирусов существуют? Популярные
Вирусы-невидимки — это вирусы, активно пытающиеся скрыться от антивирусного программного обеспечения. Они делают это, беря на себя некоторые системные функции, так что даже если вирус изменил часть жесткого диска, например, он вернет правильную, незараженную версию, чтобы его нельзя было обнаружитьПолиморфные вирусы — это вирусы, которые слегка изменяются при каждом запуске. Они предназначены для поражения антивирусных сканеров, которые ищут определенные строки кода для идентификации вирусов. Некоторые вирусописатели написали наборы инструментов, чтобы начинающие пользователи могли писать свои собственные вирусы. Один из таких инструментов называется «Dark Avenger's Mutation Engine» и создает полиморфные вирусы.
Как видно из их названий, быстрые и медленные вирусы пытаются избежать обнаружения, либо быстро заражая все файлы в системе, либо медленно заражая их. Быстрые заразители часто используют антивирусное программное обеспечение, поэтому при запуске сканирования каждый раз, когда антивирусное программное обеспечение открывает файл для его сканирования, вирус заражает этот файл. После завершения сканирования каждый файл, к которому прикоснулась антивирусная программа, будет заражен. Медленные инфицирующие используют противоположный подход. Они заражают файл только при его изменении или создании. Это сделано для того, чтобы время модификации файлов казалось пользователю законным.
Разрозненные вирусы заражают только изредка, чтобы избежать обнаружения. Например, вирус, который заражает только 20-й раз при запуске файла, будет разреженным заразителем.
Бронированные вирусы — это вирусы, которые усложняют разборку. Исследователям антивирусов часто приходится дизассемблировать код вируса, чтобы узнать, как он работает и как его победить. Бронированные вирусы намеренно усложняют этот процесс, чтобы снизить вероятность обнаружения контрмер.
Одним из способов, которым пользователь может заподозрить зараженную программу, является внезапное увеличение размера файла, поскольку вирус прикрепил свой код к файлу программы. Cavity-вирусы пытаются обойти это, внедряясь в пустое пространство, которое иногда существует в программах. Таким образом, зараженный файл сохраняет постоянный размер.
Некоторое антивирусное программное обеспечение имеет компонент, который работает в фоновом режиме и постоянно сканирует файлы в системе. Туннельный вирус пытается установить себя под антивирусным программным обеспечением, напрямую перехватывая обработчики прерываний ОС, тем самым избегая обнаружения.
Что такое «троянские кони»? А "капельницы"? Какое отношение они имеют к вирусам? Наверх
Как и в Илиаде Гомера, троянский конь — это программа, которая имеет некоторые скрытые, как правило, вредоносные функции, которые пользователь не ожидает и о которых не знает. Одной из функций может быть запуск вируса. Некоторые трояны кажутся антивирусными программами, но на самом деле сами выполняют вирусный код. Однако общепринятое различие между вирусами и троянскими программами заключается в том, что троянские программы не размножаются самостоятельно.Дропперы — это программы, которые устанавливают вирусы на компьютеры. Часто цель состоит в том, чтобы сам дроппер не был заражен вирусом и, следовательно, не мог быть обнаружен антивирусным программным обеспечением. Некоторые дропперы также имеют компонент, который может подключаться к Интернету и загружать обновления для вируса. Такой дроппер есть у вируса MTX.
Итак, мы видим, что существует множество типов вирусов, и между авторами вирусов и исследователями антивирусов ведется постоянная борьба за то, чтобы оставаться впереди друг друга. Однако бдительность и надлежащие методы обеспечения безопасности могут защитить от любого компьютерного вируса.
Читайте также: