Какие вирусы заражают загрузочный сектор дискеты или жесткого диска
Обновлено: 21.11.2024
Этот контент был заархивирован и больше не поддерживается Университетом Индианы. Информация здесь может быть неточной, а ссылки могут быть недоступны или ненадежны.
Что делают вирусы загрузочного сектора
Вирусы загрузочного сектора заражают или заменяют своим кодом загрузочный сектор DOS или главную загрузочную запись (MBR) ПК. MBR — это небольшая программа, которая запускается при каждом включении компьютера. Он управляет последовательностью загрузки и определяет, с какого раздела загружается компьютер. MBR обычно находится в первом секторе жесткого диска.
Поскольку MBR запускается каждый раз при запуске компьютера, вирус загрузочного сектора чрезвычайно опасен. После заражения загрузочного кода на диске вирус будет загружаться в память при каждом запуске. Из памяти загрузочный вирус может распространиться на каждый диск, который читает система. Вирусы загрузочного сектора, как правило, очень трудно удалить, так как большинство антивирусных программ не могут очистить MBR во время работы Windows. В большинстве случаев для правильного удаления вируса из загрузочного сектора требуются загрузочные антивирусные диски, такие как аварийный набор Symantec/Norton AntiVirus (SAV/NAV).
Некоторые распространенные вирусы загрузочного сектора включают Monkey, NYB (также известный как B1), Stoned и Form.
Симптомы
Вирус загрузочного сектора может вызывать различные проблемы с загрузкой или получением данных. В некоторых случаях данные исчезают из целых разделов. В других случаях компьютер внезапно становится нестабильным. Часто зараженный компьютер не запускается или не находит жесткий диск. Кроме того, сообщения об ошибках, такие как "Неверный системный диск", могут стать распространенными.
Как они распространяются
Вирусы загрузочного сектора обычно распространяются через зараженные дискеты. Раньше это обычно были загрузочные диски, но сейчас это не так. Дискета не обязательно должна быть загрузочной для передачи вируса загрузочного сектора. Любой диск может стать причиной заражения, если он находится в дисководе при загрузке или выключении компьютера. Вирус также может распространяться по сети при загрузке файлов и вложениях файлов электронной почты. В большинстве случаев все дискеты с возможностью записи, используемые на зараженном ПК, сами заразятся вирусом загрузочного сектора.
В прошлом настройка компьютера на загрузку сначала с диска C: (жесткий), а затем с диска A: (дискета) или вообще никогда на загрузку с диска A: была разумной мерой предосторожности против загрузочного сектора. вирусы. Это уже не так, поскольку вирусы теперь более опасны и распространяются другими путями.
Вы можете настроить некоторые параметры CMOS, чтобы предотвратить запись в загрузочный сектор жесткого диска. Это может быть полезно против вирусов загрузочного сектора. Однако, если вам нужно переустановить или обновить операционную систему, вам придется изменить настройку, чтобы снова сделать MBR доступной для записи.
Для получения дополнительной информации о вирусах загрузочного сектора и вирусах в целом см.:
Меры предосторожности и устранение повреждений
Профилактика обычно заключается в бдительности и недопущении контакта с неизвестными дисками. Следующие рекомендации помогут защитить ваши системы и данные:
- Лучшая защита от вирусов загрузочного сектора такая же, как и от вирусов в целом: хорошая антивирусная программа с актуальными определениями вирусов. Антивирусные программы выполняют две ключевые функции:
- Поиск и удаление вирусов в файлах на дисках
- Контролируйте работу вашего компьютера на наличие вирусоподобной активности и ищите известные действия конкретных вирусов или общую подозрительную активность
Примечание. Управление информационной безопасности университета (UISO) рекомендует использовать последнюю версию программного обеспечения Symantec для защиты от вирусов (бесплатно для студентов, преподавателей и сотрудников IU через IUware) для вашей операционной системы; См. АРХИВ: Безопасное обновление программного обеспечения для обеспечения безопасности в Windows 7 Обязательно выполняйте безопасное обновление, ежедневно обновляйте определения вирусов и еженедельно сканируйте компьютер. Инструкции см. в справке по программному обеспечению.
Примечание. Если вы создаете резервную копию файла, который уже заражен вирусом, вы можете повторно заразить систему, восстановив файлы из резервных копий. Перед использованием проверяйте файлы резервных копий с помощью программного обеспечения для сканирования на вирусы.
Часть этой информации была адаптирована из статьи в публикации UITS Computing Times Online.
Вирус загрузочного сектора — это тип вируса, который заражает загрузочный сектор гибких дисков или главную загрузочную запись (MBR) жестких дисков (некоторые заражают загрузочный сектор жесткого диска вместо MBR). Зараженный код запускается, когда система загружается с зараженного диска, но после загрузки он заражает другие дискеты при доступе к ним на зараженном компьютере. Хотя вирусы загрузочного сектора заражают на уровне BIOS, они используют команды DOS для распространения на другие дискеты.По этой причине они начали исчезать со сцены после появления Windows 95 (которая мало использовала инструкции DOS). Сегодня существуют программы, известные как «буткиты», которые записывают свой код в MBR как средство ранней загрузки в процессе загрузки, а затем скрывают действия вредоносных программ, работающих под Windows. Однако они не предназначены для заражения съемных носителей.
Единственным абсолютным критерием для загрузочного сектора является то, что он должен содержать 0x55 и 0xAA в качестве последних двух байтов. Если эта подпись отсутствует или повреждена, компьютер может отобразить сообщение об ошибке и отказаться загружаться. Проблемы с сектором могут быть вызваны повреждением физического диска или наличием вируса в загрузочном секторе.
Как распространяются вирусы загрузочного сектора и как от них избавиться
Компьютерные вирусы загрузочного сектора чаще всего распространяются с помощью физических носителей. Зараженная дискета или USB-накопитель, подключенный к компьютеру, будет передаваться при чтении VBR диска, а затем изменять или заменять существующий загрузочный код. В следующий раз, когда пользователь попытается загрузить свой рабочий стол, вирус будет загружен и немедленно запущен как часть основной загрузочной записи. Вложения электронной почты также могут содержать код загрузочного вируса. При открытии эти вложения заражают главный компьютер и могут содержать инструкции по отправке дополнительных пакетов электронной почты в список контактов пользователя. Улучшения в архитектуре BIOS уменьшили распространение загрузочных вирусов за счет включения опции предотвращения любых изменений в первом секторе жесткого диска компьютера.
Удаление вируса из загрузочного сектора может быть затруднено, поскольку он может зашифровать загрузочный сектор. Во многих случаях пользователи могут даже не знать, что они заражены вирусом, пока они не запустят программу антивирусной защиты или сканирование на наличие вредоносных программ. В результате пользователям крайне важно полагаться на постоянно обновляемые программы защиты от вирусов, которые имеют большой реестр загрузочных вирусов и данные, необходимые для их безопасного удаления. Если вирус невозможно удалить из-за шифрования или чрезмерного повреждения существующего кода, возможно, потребуется переформатирование жесткого диска для устранения заражения.
Загрузочный сектор — это зарезервированный раздел диска, содержащий код и данные, необходимые для запуска операционной системы (ОС) компьютера. Вирус загрузочного сектора — это тип вредоносного ПО, которое заражает загрузочный раздел системы или главную загрузочную запись (MBR) жесткого диска. Во время запуска и перед запуском программного обеспечения безопасности вирус выполняет вредоносный код. После заражения компьютера вирус загрузочного сектора попытается заразить каждый диск, к которому осуществляется доступ в зараженной системе.
Облако Acronis Cyber Protect
Как компьютеры заражаются вирусом загрузочного сектора?
Компьютер пользователя заражается вирусом загрузочного сектора при запуске машины с зараженной дискеты или USB-накопителя. Вложения электронной почты также могут содержать вирус загрузочного сектора, который также может заразить другие компьютеры в сети.
Как предотвратить заражение загрузочного сектора вирусом?
Лучший способ предотвратить загрузочный вирус — остановить установку начальной полезной нагрузки. Хорошее решение для защиты от вредоносных программ или кибербезопасности, которое сканирует загрузочный сектор, помещает в карантин и удаляет вредоносные файлы, является одним из лучших способов остановить этот тип вредоносного ПО. После заражения компьютера пользователь может отформатировать свой диск и восстановить ОС, приложения и данные с помощью полной резервной копии образа, созданной до заражения. Вы также можете попробовать программное обеспечение для удаления вирусов из загрузочного сектора.
Симптомы заражения вирусом загрузочного сектора
Во многих случаях пользователь может не знать, что он заражен вирусом загрузочного сектора, пока не запустит антивирусное решение или сканирование на наличие вредоносных программ. Кроме того, компьютер может начать тормозить, файлы могут внезапно исчезнуть или начать шифроваться. Несколько других возможных симптомов, которые делают этот вирус уникальным, заключаются в том, что компьютер не загружается, загружается с синим экраном или ОС не запускается, а пользователь видит только текст на черном экране с сообщением об ошибке, что загрузочное устройство не может быть найдено. Это происходит, когда вирус удаляет или изменяет необходимые загрузочные файлы.
Acronis Cyber Protect Cloud защищает системы ваших клиентов
Acronis Cyber Protect Cloud – это единственное решение, изначально объединяющее средства кибербезопасности, защиты данных и управления для защиты конечных точек, систем и данных. Эта синергия устраняет сложность, поэтому поставщики услуг могут лучше защищать клиентов при снижении затрат. Он обеспечивает:
- Лучшее в отрасли резервное копирование и восстановление с полным резервным копированием и восстановлением на уровне файлов и образов для защиты рабочих нагрузок на более чем 20 платформах — с почти нулевыми RPO и RTO.
- Основная киберзащита без дополнительных затрат с помощью расширенного механизма поведенческого обнаружения на основе машинного интеллекта (MI), который останавливает вредоносное ПО, включая вирусы загрузочного сектора, программы-вымогатели и атаки нулевого дня на конечные точки и системы вашего клиента.
- Управление защитой, созданное для MSP, чтобы обеспечить тщательное расследование после инцидента и надлежащее устранение, а также снизить затраты за счет сбора цифровых доказательств и их хранения в безопасном центральном хранилище.
Чтобы улучшить ваши услуги и обеспечить безопасность и защиту систем и данных ваших клиентов, Acronis предлагает дополнительные расширенные пакеты, обеспечивающие еще большую защиту от вредоносных программ, включая вирусы загрузочного сектора.
Advanced Security предлагает комплексное решение для защиты от вредоносных программ, заменяющее неэффективный устаревший антивирус интегрированной киберзащитой, чтобы предотвратить больше киберугроз для клиентов с меньшими ресурсами.
Advanced Email Security дополняет неэффективное устаревшее антивирусное программное обеспечение интегрированной киберзащитой для блокировки угроз, связанных с электронной почтой, включая спам, фишинг, компрометацию корпоративной электронной почты (BEC), вредоносное ПО, сложные постоянные угрозы (APT) и уязвимости нулевого дня до того, как они исчезнут. -пользовательские почтовые ящики Microsoft 365, Google Workspace, Open-Xchange или локальные почтовые ящики.
Acronis Cyber Protect Cloud предоставляет MSP единое интегрированное решение, которое устраняет сложность, чтобы вы могли лучше защищать клиентов, снижать расходы и повышать прибыльность.
Вирус этого типа заражает главную загрузочную запись или загрузочную запись DOS на жестком диске или загрузочную запись гибкого диска.
Удаление
Автоматическое действие
В зависимости от настроек вашего продукта безопасности F-Secure он либо поместит файл в карантин, где он не сможет распространяться или причинить вред, либо удалит его.
Подозреваете, что файл обнаружен неправильно (ложное срабатывание)?
Ложное срабатывание — это когда файл ошибочно определяется как вредоносный, обычно потому, что его код или поведение напоминают известные вредоносные программы. Ложное срабатывание обычно исправляется в последующем обновлении базы данных без каких-либо действий с вашей стороны. При желании вы также можете:
Проверить наличие последних обновлений базы данных
Сначала проверьте, использует ли ваша программа безопасности F-Secure последние обновления базы данных обнаружения, а затем повторите попытку сканирования файла.
Отправить образец
Если после проверки вы по-прежнему считаете, что файл обнаружен неправильно, вы можете отправить его образец на повторный анализ.
ПРИМЕЧАНИЕ. Если файл был перемещен в карантин, вам необходимо забрать файл из карантина, прежде чем вы сможете отправить его.
Исключить файл из дальнейшего сканирования
Если вы уверены, что файл безопасен, и хотите продолжать его использовать, вы можете исключить его из дальнейшего сканирования продуктом безопасности F-Secure.
Примечание. Для изменения настроек требуются права администратора.
Для получения дополнительной поддержки
Поиск последних советов в нашем сообществе.
См. руководство пользователя вашего продукта в Справочном центре.
Поговорите с экспертом или позвоните ему за помощью.
Отправить образец
Технические детали
Загрузочный вирус (также известный как загрузочный вирус, вирус MBR или вирус DBR) нацеливается и заражает определенный физический раздел компьютерной системы, которая содержит информацию, необходимую для правильной работы операционной системы (ОС) компьютера.
Хотя загрузочные вирусы были широко распространены в начале 90-х годов, они стали намного реже после того, как большинство производителей материнских плат компьютеров добавили защиту от таких угроз, отказав в доступе к основной загрузочной записи (наиболее часто атакуемому компоненту) без разрешения пользователя.
Однако в последние годы появилось более сложное вредоносное ПО, которое нашло способы обойти эту защиту и перенацелить MBR (например, Rootkit:W32/Whistler.A).
Как заражает загрузочный вирус
Загрузочные вирусы различаются в зависимости от того, нацелены ли они на основную загрузочную запись (MBR), загрузочную запись DOS (DBR) или загрузочную запись гибкого диска (FBR):
- MBR — это первый сектор жесткого диска, обычно расположенный на дорожке 0. Он содержит начальный загрузчик и информацию о таблицах разделов на жестком диске.
- DBR обычно располагается через несколько секторов (после 62 секторов на жестком диске с 63 секторами на дорожку) после MBR и содержит начальный загрузчик для операционной системы и информацию о логическом диске.
- FBR используется для тех же целей, что и DBR на жестком диске, но располагается на первой дорожке дискеты.
Загрузочный вирус можно разделить на перезаписывающий или перемещающий:
- Перезаписывающий загрузочный вирус перезаписывает сектор MBR, DBR или FBR своим собственным кодом, сохраняя при этом исходную таблицу разделов или информацию о логическом диске.
- Перемещающий загрузочный вирус сохраняет исходную MBR, DBR или FBR где-то на жестком диске или гибком диске.Иногда такое действие может разрушить определенные области жесткого диска или гибкого диска и сделать диск нечитаемым.
Все загрузочные вирусы являются резидентными. При запуске зараженного компьютера код загрузочного вируса загружается в память. Затем он перехватывает одну из функций BIOS (обычно вектор прерывания диска Int 13h), чтобы она оставалась в памяти.
Оказавшись в памяти, загрузочный вирус может отслеживать доступ к диску и записывать свой код в загрузочные сектора других носителей, используемых на компьютере. Например, загрузочный вирус, запущенный с дискеты, может заразить жесткий диск компьютера; затем он может заразить все дискеты, вставленные в дисковод компьютера.
Читайте также: