Загрузочный вирус

Загру́зочный ви́рус — компьютерный вирус, записывающийся в первый сектор гибкого или жёсткого диска и выполняющийся при загрузке компьютера с идущих после главной загрузочной записи (MBR), но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус либо продолжает загрузку операционной системы, либо нет (MBR-Locker). Размножается вирус записью в загрузочную область других накопителей компьютера.

Простейшие загрузочные вирусы, находясь в памяти заражённого компьютера, обнаруживают в компьютере незаражённый диск и производят следующие действия:

• Выделяют некоторую область диска и делают её недоступной для операционной системы.
• Замещают программу начальной загрузки в загрузочном секторе диска, копируя корректную программу загрузки, а также свой код, в выделенную область диска;

Организуют передачу управления так, чтобы вначале выполнялся код вируса и лишь затем — программа начальной загрузки.Загрузочные вирусы очень редко «уживаются» вместе на одном диске по причине того, что используют (возможно) одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо отказывает в обслуживании, либо зацикливается при загрузке операционной системы.

Загрузочные вирусы были широко распространены в эпоху MS-DOS. Вирус Brain - первый в истории компьютерный вирус, вызвавший широкую эпидемию, относился именно к классу загрузочных. Во второй половине 1990-х годов в связи с повсеместным использованием 32-разрядных версий Windows загрузочные вирусы временно потеряли свою актуальность. Однако в 2007 г. появилась новая разновидность вредоносных программ — руткиты, использующие те же технологии заражения дисков, что и загрузочные вирусы.

Источник: Википедия

Упоминания в литературе

Следующая крупная эпидемия, вызванная распространением загрузочного вируса, произошла уже в 1994 году, и ее виновником стала очень опасная вредоносная программа, получившая известность под именем OneHalf. OneHalf представлял собой полиморфный загрузочный файловый вирус. Инфицировав основную загрузочную запись (Master Boot Record, MBR), при запуске операционной системы он передавал управление своему основному исполняемому модулю, который при каждом запуске компьютера шифровал по две дорожки на жестком диске со случайным ключом. Загруженный в оперативную память резидентный компонент вируса выполнял роль своего рода драйвера, перехватывая все обращения операционной системы к диску и расшифровывая ранее подверженные шифрованию данные «на лету», вследствие чего операционная система не испытывала каких-либо проблем в процессе чтения-записи файлов и фактически «не замечала» присутствие вируса в системе. Однако при попытке удаления вредоносной программы доступ к хранящейся на зашифрованных участках жесткого диска информации автоматически прекращался. После успешного шифрования половины доступного объема диска в момент загрузки операционной системы вирус в некоторых случаях выводил на экран компьютера сообщение: «Dis is one half. Press any key to continue…». После нажатия пользователем любой клавиши на клавиатуре компьютера загрузка MS-DOS возобновлялась в штатном режиме. Вирус отличался присутствием в своей архитектуре полиморфных алгоритмов, обладал различными функциями антиотладки, препятствующими попыткам его анализа, и обладал способностью заражать исполняемые файлы.

Валентин Холмогоров, PRO вирусы. Версия 4.0, 2020

Загрузочные вирусы внедряются в загрузочный сектор диска (boot-сектор) или в сектор, содержащий системный загрузчик винчестера.

Алексей Гультяев, Восстановление данных