3.4.2 Дескриптор завантажувального вірусу

В головному дескрипторі відо­бражені такі властивості:

А –деструктивні дії, які використовуються вірусом;

В –прояв вірусу;

L –довжина голови і хвоста вірусу в байтах, які розділені знаком "±";

М –маскування за наявності вірусу в пам'яті;

N –номер першого байта, що не збігається при порівнянні зараженого і нормального секторів початкового завантаження;

S – стратегія зараження (метод вибору "жертви", метод збе­рігання хвоста вірусу і оригінальної копії бут-сектора);

R (resident) –положення в оперативній пам'яті, реакція на "тепле" перезавантаження і розмір зайнятої пам'яті;

Z –побічні прояви дій вірусу.

3.4.3 Сигнатура бутового вірусу.

Для бутових вірусів М-, І-, В-сигнатури використовуються ана­ло­гіч­но тому, як це було для файлових вірусів, а J-сигнатура–в дещо ін­шому вигляді. На відміну від J-сигнатури для файлових вірусів, в якій байти від­по­­відають команді переходу і не враховуються, в J-сигнатурі для бутових вірусів вони враховуються. Це пов'язано з тим, що пер­шою коман­дою бут-сектора завжди є команда обходу таб­лиці параметрів диска, роз­мір якої,на відміну від розміру за­раженого файла,не змінюється. Тому для бутових вірусів ви­користовуютьпереважно J-сигнатуру, яка складається з перших трьох байтів бут-сектора, і лишепринеобхідності доповнюється, починаючи з байта, на якому виконується ко­манда переходу.

Для незараженого бут-сектора (наприклад, для МS-DOS версії 3.3)J-сигнатура дорівнює ЕВ3490h (об'єктний код команди JМР, який служить для обходу таблиці параметрів). Цінність цієї ета­лонної J-сигнатури в тому, що вона порів­ня­но легко за­пам'ятовується. Тому невідповідність перших трьох байтів бут-сектора, що аналізується, вказаній еталонній J-сигнатурі свідчить про зараження бут-сектора.

3.4.4 Принцип дії завантажувальних вірусів

Завантажувальні віруси заражають завантажувальний сектор флоппі-диска або boot-сектор вінчестера (MBR). Принцип дії заван­та­жу­вальних вірусів оснований на алгоритмах запуску операційної системи при вклю­ченні або перезавантаженні комп'ютера – після необхідних тестів встанов­ле­но­го устаткування (пам'яті, дисків і т.д.) програма системного заван­таження зчи­тує перший фізичний сектор завантажувального диску (A, C чи CD у залежності від параметрів, встановлених у BIOS Setup) і передає на нього керування.

У випадку дискети чи компакт-диску керування одержує boot-сектор, що аналізує таблицю параметрів диска (BPB - BIOS Parameter Block), вираховує адреси системних файлів операційної системи, зчитує їх у пам'ять і запускає на виконання. Системними файлами звичайно є MSDOS.SYS і IO.SYS, або IBMDOS.COM і IBMBIO.COM, або інші в залежності від уста­новленої версії DOS, Windows чи інших ОС. Якщо ж на заванта­жуваль­ному диску відсутні файли операційної системи, програма, розташована в boot-секторі диска, видає повідомлення про помилку і пропонує замінити завантажувальний диск.

У випадку вінчестера керування одержує програма, розташована в MBR він­честера. Ця програма аналізує таблицю розбиттядиска (Disk Partition Table), об­числює адресу активного boot-сектора (зазвичай цим сектором є boot-сектор дис­ку C), завантажує його в пам'ять і передає на нього керування. Одержавши ке­ру­ван­ня, активний boot-сектор вінчестераздійснюєпевнідії.

При зараженні дисків завантажувальні віруси "підставляють" свій код замість якої-небудь програми, що одержує керування при завантаженні системи. Принцип зараження, таким чином, однаковий:у всіх описаних вище способах вірус "змушує" систему під час перезапускузчитуватиїї в пам'ять і віддати керування не оригінальному коду завантажувальника, а коду вірусу.

Зараження дискет здійснюється єдиним відомим способом–вірус записує свій код замість оригінального коду boot-сектора дискети.

Вінчестер заражається трьома можливими способами – вірус запи­су­ється або замість коду MBR, або замість коду boot-сектора заван­тажу­валь­ного диска (звичайно диска C), або модифікує адреса активного boot-сектора в Disk Partition Table, розташованої в MBR вінчестера (рис.10).

При інфікуванні диска вірус у більшості випадків переносить оригінальний boot-сектор (чи MBR) у який-небудь інший сектор диска (наприклад, у перший вільний). Якщо довжина вірусу більше довжини сектора, то в сектор, що заражається,поміщається перша частина вірусу, інші частини розміщаються в інших секторах (наприклад, у перших вільних).

Незаражений диск
0	1	2	3	...	(Номер сектора)
Boot-сектор або Master Boot Record

Заражений диск (підміна Boot/MBR)
0	1	2	3	...	(Номер сектора)
Початок вірусу							Збережений Boot/MBR	Продовження вірусу

Заражений диск (підміна активного Boot-сектора в Disk Partition Table)
0	1	2	3	...	(Номер сектора)
Модифіко-вана DPT								Основний код вірусу

Рисунок 10 – Розміщення завантажувального вірусу