Загрузочный вирус поражает загрузочный сектор жесткого диска или главную загрузочную запись жесткого диска (Master Boot Record). Вредоносный код выполняется при загрузке операционной системы с зараженного диска и в дальнейшем инфицирует диски, к которым обращается зараженный компьютер.
Хотя загрузочные вирусы заражают компьютер на уровне BIOS, для распространения на другие диски они используют команды DOS. По этой причине они начали сходить со сцены после появления Windows 95, которая практически не использовала инструкции DOS. Сейчас существуют программы, которые называют буткитами, – они записывают свой код в главную загрузочную запись, что позволяет им запускаться в самом начале процесса загрузки, а затем скрывать действия вредоносного ПО, работающего под Windows. Но буткиты не предназначены для заражения съемных носителей.
Загрузочный сектор обязательно должен содержать в конце последовательность из двух байт 0х55 и 0хАА. Если эта сигнатура отсутствует или повреждена, компьютер может выдать ошибку и откажется загружаться. Проблемы с загрузочным сектором могут быть вызваны физическим повреждением диска или загрузочным вирусом.
Как распространяются загрузочные вирусы
Загрузочные компьютерные вирусы обычно распространяются через физические носители. Вирус загружается на компьютер с зараженного флоппи-диска или USB-накопителя в момент чтения первого сектора логического диска (VBR), а затем изменяет или подменяет собой существующий код загрузки. При следующем включении компьютера вирус сразу же загружается и активизируется – как часть главной загрузочной записи. Кроме того, загрузочный вирус может распространяться через вложения в электронной почте. При открытии эти вложения не только инфицируют компьютер пользователя, но и могут инициировать дальнейшую рассылку вредоносного письма по списку его контактов. Сейчас уже усовершенствованная архитектура BIOS не позволяет вносить какие-либо изменения в первый сектор жесткого диска компьютера, что уменьшило распространение загрузочных вирусов.
Удалить загрузочный вирус бывает непросто, потому что он может зашифровать загрузочный сектор. Во многих случаях пользователи даже не подозревают о заражении, пока не запустят проверку компьютера на вирусы и другое вредоносное ПО. Поэтому очень важно пользоваться такими антивирусными программами, которые постоянно обновляются и имеют в своем распоряжении большую базу данных загрузочных вирусов и данные для их безопасного удаления. Если вирус нельзя удалить из-за того, что существующий код зашифрован или сильно поврежден, для устранения заражения может потребоваться форматирование жесткого диска.
