Загрузочные вирусы

Загрузка компьютера - сложный процесс, включающий в себя несколько этапов. В современных компьютерах процесс начальной загрузки начинается с выполнения процессором команд, расположенных в постоянной памяти (ПЗУ), например, на IBM PC – команд BIOS. BIOS ­– basic input/output system или «базовая система ввода-вывода». BIOS обнаруживает устройства, подходящие для загрузки, и загружает со специального раздела выбранного устройства (чаще всего загрузочного сектора данного устройства) загрузчик ОС.

Если загрузка идет с винчестера, то программа начальной загрузки пытается прочитать в оперативную память содержимое первого сектора нулевой дорожки жесткого диска, в котором находится главная загрузочная запись (MBR-master Boot record). Загрузчик, расположенный в главной загрузочной записи, просматривает таблицу разделов диска и ищет в ней раздел, отмеченный как активный. Затем происходит загрузка в оперативную память ядра операционной системы.

Загрузка с дискеты или CD происходит проще, так как формат дискеты в точности соответствует формату логического диска. Первый сектор нулевой дорожки дискеты содержит загрузочную запись, которая считывается в память, после чего ей передается управление.

Следовательно, если в программе начальной загрузки ПЗУ или в загрузочной записи диска есть вирус, то он получит управление при загрузке компьютера, до начала работы каких-либо антивирусных программ.

Как же может вирус попасть в ПЗУ или загрузочную запись?

ПЗУ в современных компьютерах часто реализованной на основе флеш - карт, то есть не является в полном смысле «постоянными», а допускают перезапись. Многие пользователи компьютера периодически обновляют BIOS, при этом обновления могут скачиваться из Интернет. Таким образом, в результате обновления в ПЗУ может попасть вирус. Этот вирус активизируется при загрузке компьютера, и может выполнить какие-либо вредоносные действия или записать вирусный код в загрузочную запись винчестера либо дискеты. Если затем с такой дискеты будет произведена попытка загрузить другой компьютер, то тот компьютер тоже заразится вирусом.

Причем попытка загрузиться с дискеты может произойти не только тогда, когда пользователь действительно хочет загрузить компьютер с дискеты. Если в момент включения компьютера в дисководе находится дискета, и в конфигурации BIOS указано, что загрузка должна проводиться с дискеты, то такая попытка загрузки будет произведена. И хотя загрузка не произойдет (так как дискета не является системной), но загрузочная запись будет прочитана в оперативную память, и может произойти активизация находящегося на ней вируса.

Загрузочные вирусы не только записывают свои копии в загрузочные записи винчестера и используемых на компьютере дискет, но и изменяют сведения о порядке загрузке. Дело в том, что обычно при борьбе с вирусами рекомендуются загрузить компьютер с чистого диска. Если пользователь обнаружил на своем компьютере вирус и собирается провести мероприятие по «лечению», то пользователь устанавливает за ранее подготовленный диск с чистой операционной системой и перезагружает компьютер, надеясь, что произойдет загрузка с диска. Однако если порядок загрузки изменен, то система начнет грузиться с зараженного винчестера, и вирус окажется в оперативной памяти, препятствуя работе антивирусных средств. Поэтому при подозрении на наличие вируса и попытки загрузки с чистого диска надо обязательно предварительно проверить порядок загрузки.

Таким образом, загрузочный вирус может проникнуть в компьютер при перезаписи ПЗУ или при загрузке компьютера с зараженного носителя.