Bootvirus - LinkFang.de





Bootvirus


Ein Bootvirus ist ein Computervirus, das beim Start des Rechners (Booten) aktiv wird, noch bevor das Betriebssystem komplett geladen ist. Auf Disketten sitzt das Virus zumindest teilweise im Bootsektor; selbst Disketten, die keine Dateien enthalten, können also infiziert sein. Auf Festplatten kann das Virus im Master Boot Record (MBR) oder im logischen Bootsektor sitzen.

Bootviren sind die ältesten Computerviren überhaupt. Diese Viren waren bis 1995 die meistverbreitete Form von Viren. Ein Bootsektorvirus infiziert den Bootsektor von Disketten sowie den Master Boot Record (MBR) einer Festplatte. Der Bootsektor ist der erste physische Teil einer Diskette und ein Sektor (512 Byte) groß. Der Bootsektor wird von Startdisketten verwendet, um von der Diskette booten zu können, jedoch hat jede Diskette und Festplatte einen Bootsektor oder einen MBR. Bootsektorviren nutzen die Tatsache aus, dass der Bootsektor immer als erstes geladen wird. Will ein Benutzer von einer infizierten Startdiskette booten oder vergisst er eine infizierte Diskette im Diskettenlaufwerk beim Start des Computers, greift das BIOS bei entsprechender BIOS-Boot-Einstellung auf diesen Sektor zu und führt ihn aus. Das Virus versucht danach, den MBR der Festplatte zu infizieren, um bei jedem Start des Computers ausgeführt zu werden. Wenn ein infizierter Computer startet, wird der MBR geladen, der normalerweise für das Erkennen der verschiedenen Partitionen der Festplatte zuständig ist. Das Virus, das nun geladen wird, bleibt im Speicher und überwacht die Zugriffe auf andere Disketten. Wenn eine Diskette in einen mit einem Bootsektorvirus infizierten Computer gelegt wird, wird das Virus im Speicher aktiv und infiziert den Bootsektor der Diskette. Heutzutage gibt es beinahe keine Bootsektorviren mehr, da BIOS und Betriebssysteme meistens einen gut funktionierenden Schutz haben. Zwar gibt es experimentelle Bootsektorviren, die diesen Schutz umgehen sollen, jedoch ist ihre Verbreitung zu langsam, um ein Problem darstellen zu können.

Zu den Bootviren gehören das Form-Virus, Parity Boot und Boot-437.

VMBRs

Eine neue Variante der Idee stellen VMBRs dar, die beim Rechnerstart eine VM starten und das vorhandene Betriebssystem in diese hinein laden. Dabei bleibt außerhalb des Betriebssystems das VMBR von außen erreichbar, ohne dass das Betriebssystem davon berührt wird. Im laufenden System ist dies also schwer erkennbar, auch für Virenscanner.

Chainloader-Problem

Bootviren verwenden im Prinzip ähnliche Techniken wie Chain-Loader: Sie überschreiben den MBR mit Malware und springen den ursprünglichen Boot-Code an, den sie dazu vorher an eine andere Stelle kopiert haben. Wenn bei einer Infektion mit einem Bootvirus so ein Chainloader aktiv war, entsteht evtl. folgende Situation:

  • Der Chainloader oder ein Disk Overlay enthält die nötige Boot-Information
    • Der Virus verschiebt den Chainloader / das Disk-Overlay und zeigt selber auf dieses
      • Wird nun der Bootvirus durch Überschreiben des MBRs entfernt, zeigt vom MBR nichts mehr auf die tatsächliche Bootinformationen zur Plattengeometrie. Das System kann die Festplatte nicht mehr ansteuern.

Virenscanner können unter Umständen den überschriebenen Code aus dem MBR wieder finden und zurück transferieren. Darum ist ein generisches Überschreiben des MBR in diesen Fällen oft nicht angebracht.


Kategorien: Schadprogramm

Quelle: Wikipedia - http://de.wikipedia.org/wiki/Bootvirus (Vollständige Liste der Autoren des Textes [Versionsgeschichte])    Lizenz: CC-by-sa-3.0

Änderungen: Alle Bilder mit den meisten Bildunterschriften wurden entfernt. Ebenso alle zu nicht-existierenden Artikeln/Kategorien gehenden internen Wikipedia-Links (Bsp. Portal-Links, Redlinks, Bearbeiten-Links). Entfernung von Navigationsframes, Geo & Normdaten, Mediadateien, gesprochene Versionen, z.T. ID&Class-Namen, Style von Div-Containern, Metadaten, Vorlagen, wie lesenwerte Artikel. Ansonsten sind keine Inhaltsänderungen vorgenommen worden. Weiterhin kann es durch die maschinelle Bearbeitung des Inhalts zu Fehlern gerade in der Darstellung kommen. Darum würden wir jeden Besucher unserer Seite darum bitten uns diese Fehler über den Support mittels einer Nachricht mit Link zu melden. Vielen Dank!

Stand der Informationen: August 201& - Wichtiger Hinweis: Da die Inhalte maschinell von Wikipedia übernommen wurden, ist eine manuelle Überprüfung nicht möglich. Somit garantiert LinkFang.de nicht die Richtigkeit und Aktualität der übernommenen Inhalte. Sollten die Informationen mittlerweile fehlerhaft sein, bitten wir Sie darum uns per Support oder E-Mail zu kontaktieren. Wir werden uns dann innerhalb von spätestens 10 Tagen um Ihr Anliegen kümmern. Auch ohne Anliegen erfolgt mindestens alle drei Monate ein Update der gesamten Inhalte.