Bootvirus
Ein Bootvirus ist ein Computervirus, das beim Start des Rechners (Booten) aktiv wird, noch bevor das Betriebssystem komplett geladen ist. Auf Disketten sitzt das Virus zumindest teilweise im Bootsektor; selbst Disketten, die keine Dateien enthalten, können also infiziert sein. Auf Festplatten kann das Virus im Master Boot Record (MBR) oder im logischen Bootsektor sitzen.
Bootviren sind die ältesten Computerviren überhaupt. Diese Viren waren bis 1995 die meistverbreitete Form von Viren. Ein Bootsektorvirus infiziert den Bootsektor von Disketten sowie den Master Boot Record (MBR) einer Festplatte. Der Bootsektor ist der erste physische Teil einer Diskette und ein Sektor (512 Byte) groß. Der Bootsektor wird von Startdisketten verwendet, um von der Diskette booten zu können, jedoch hat jede Diskette und Festplatte einen Bootsektor oder einen MBR. Bootsektorviren nutzen die Tatsache aus, dass der Bootsektor immer als erstes geladen wird. Will ein Benutzer von einer infizierten Startdiskette booten oder vergisst er eine infizierte Diskette im Diskettenlaufwerk beim Start des Computers, greift das BIOS bei entsprechender BIOS-Boot-Einstellung auf diesen Sektor zu und führt ihn aus. Das Virus versucht danach, den MBR der Festplatte zu infizieren, um bei jedem Start des Computers ausgeführt zu werden. Wenn ein infizierter Computer startet, wird der MBR geladen, der normalerweise für das Erkennen der verschiedenen Partitionen der Festplatte zuständig ist. Das Virus, das nun geladen wird, bleibt im Speicher und überwacht die Zugriffe auf andere Disketten. Wenn eine Diskette in einen mit einem Bootsektorvirus infizierten Computer gelegt wird, wird das Virus im Speicher aktiv und infiziert den Bootsektor der Diskette. Heutzutage gibt es beinahe keine Bootsektorviren mehr, da BIOS / EFI und Betriebssysteme meistens einen gut funktionierenden Schutz haben. Zwar gibt es experimentelle Bootsektorviren, die diesen Schutz umgehen sollen, jedoch ist ihre Verbreitung zu langsam, um ein Problem darstellen zu können.[1]
Um einen solchen Virus in Umlauf zu bringen, wurden auch sogenannte Dropper verwendet. Dabei handelt es sich um eine Datei, die bei Ausführung den eigentlichen Virus in den Boot-Sektor schreibt. Ein Dropper ist also ein Trojanisches Pferd. Früher sprach man in solchen Fällen auch von einem Hybridvirus. Eine Kombination aus Dropper und Dateivirus nennt man Hybridvirus.
Die bekanntesten Bootviren erschienen in der Zeit von 1987 bis 1997. Spätere Betriebssysteme und Hardwarevorkehrungen überwachen und sichern Bootsektor und MBR weitgehend effektiv.
VMBRs
Eine neue Variante der Idee stellen VMBRs dar, die beim Rechnerstart eine VM starten und das vorhandene Betriebssystem in diese hinein laden. Dabei bleibt außerhalb des Betriebssystems das VMBR von außen erreichbar, ohne dass das Betriebssystem davon berührt wird. Im laufenden System ist dies also schwer erkennbar, auch für Virenscanner.
Chainloader-Problem
Bootviren verwenden im Prinzip ähnliche Techniken wie Chainloader: Sie überschreiben den MBR mit Malware und springen den ursprünglichen Boot-Code an, den sie dazu vorher an eine andere Stelle kopiert haben. Wenn bei einer Infektion mit einem Bootvirus so ein Chainloader aktiv war, entsteht evtl. folgende Situation:
- Der Chainloader oder ein Disk Overlay enthält die nötige Boot-Information
- Der Virus verschiebt den Chainloader / das Disk-Overlay und zeigt selber auf dieses
- Wird nun der Bootvirus durch Überschreiben des MBRs entfernt, zeigt vom MBR nichts mehr auf die tatsächliche Bootinformationen zur Plattengeometrie. Das System kann die Festplatte nicht mehr ansteuern.
Virenscanner können unter Umständen den überschriebenen Code aus dem MBR wieder finden und zurück transferieren. Darum ist ein generisches Überschreiben des MBR in diesen Fällen oft nicht angebracht.
Siehe auch
Bekannte Bootsektorviren: