Was ist ein Bootsektorvirus?

Ein Bootsektorvirus ist eine bestimmte Art von Virus, der nach dem Speicherort benannt ist, an dem er gefunden wird. Das wäre der Bootsektor von Disketten oder der Master Boot Record modernerer Festplatten. In einigen Fällen können sie den Bootsektor dieser Festplatten anstelle des MBR infizieren.

Der Code, aus dem der Virus besteht, wird ausgeführt, wenn der Inhalt der Festplatte oder des Laufwerks gestartet wird. Mit anderen Worten: Wenn der Benutzer versucht, eine infizierte Festplatte anzuschließen und zu verwenden, führt er den Virus aus. Sobald sie geladen sind, kopieren sich fast alle dieser Viren auf andere verfügbare und kompatible Festplatten und Laufwerke. Wenn also in einen Computer vier saubere Disketten eingelegt wären und eine fünfte infizierte Diskette hinzugefügt und verwendet würde, würden am Ende wahrscheinlich alle fünf infiziert sein.

Was machen Bootsektorviren?

Aufgrund der Art und Weise und des Speicherorts werden Bootsektorviren ausgeführt, wenn das Gerät, auf dem sie sich befinden, hochgefahren oder angeschlossen und eingeschaltet wird. Es handelt sich um Infektionen auf BIOS-Ebene, das heißt, sie erfordern keine besondere Benutzerinteraktion ( z. B. das Öffnen einer E-Mail oder das Klicken auf einen fragwürdigen Website-Link ), um ein System zu beeinträchtigen.

Der Nachteil besteht darin, dass sie zur Verbreitung auf DOS-Befehle angewiesen sind. DOS wurde seit der Veröffentlichung von Windows 95 nicht mehr verwendet. Ab diesem Zeitpunkt nahm die Verwendung von Bootsektorviren rapide ab, da sie nicht mehr funktionierten. Die ursprünglichen Bootsektorviren wären auf einem modernen Computer, der keine DOS-Befehle verwendet/versteht, völlig harmlos – der Virustyp bleibt jedoch in einer neuen Variante bestehen.

Moderne Bootsektorviren

Das moderne Äquivalent wird oft als „Bootkit“ bezeichnet, das sich selbst in den MBR oder Master Boot Record schreibt. Auf diese Weise erzielen sie den gleichen Effekt wie ein Start zu Beginn des Startvorgangs. Auf diese Weise können sie sowohl ihre Anwesenheit als auch ihre Aktivitäten hinter anderen Prozessen verbergen – und erfordern wiederum keine Benutzerinteraktion außer dem Hochfahren der Maschine.

Bootkits sind nicht mit Wechselmedien kompatibel – mit anderen Worten: Während die ursprünglichen Bootsektorviren auf Disketten gediehen, funktionieren Bootkits auf diese Weise nicht. Sie könnten beispielsweise keinen USB-Stick infizieren – auf einem lassen sie sich zwar speichern und übertragen, würden sie aber nicht aktivieren. Andere Viren können von Wechselmedien wie USB-Sticks ausgeführt werden, Bootkits jedoch nicht.

Wie sieht ein Bootsektorvirus aus?

Wie bei jedem Virus hängt sein Aussehen sowohl davon ab, wer ihn erstellt hat, als auch davon, welchen Zweck er erfüllen soll. Ein Bootsektor muss immer 0x55 bzw. 0xAA als letzte zwei Datenbytes haben. Ohne sie verweigert der Computer entweder den Start vollständig oder zeigt zumindest eine Fehlermeldung an. Diese Fehlermeldung – oder die Weigerung, zu booten – kann einer von mehreren Hinweisen auf einen Bootsektor-Virus sein, gibt jedoch keinen besonderen Hinweis darauf, was der Virus tun könnte.

So identifizieren Sie einen Bootsektor-Virus

Ein Bootsektorvirus kann auf zwei verschiedene Arten identifiziert werden. Erstens durch seine Taten. Ein Bootsektorvirus infiziert den Teil des Speichermediums, der beim Booten vom BIOS geladen wird. Es infiziert auch aktiv alle anderen an den infizierten Computer angeschlossenen Speichermedien. Bedenken Sie, dass moderne Bootkits etwas anders funktionieren und Geräte nicht automatisch infizieren. Die andere Möglichkeit, einen Bootsektorvirus zu identifizieren, ist die Verwendung einer Antivirensoftware.

Hinweis: Bootsektorviren sind im Wesentlichen veraltet und basieren auf der Technologie der DOS-Ära. Diese Betriebssysteme werden wahrscheinlich nur minimal genutzt, insbesondere ältere Systeme. Es wäre derzeit eine Herausforderung, ein Antivirenprodukt zu finden, das auf einem solchen Betriebssystem ausgeführt werden kann. Darüber hinaus hat sich wahrscheinlich niemand die Mühe gemacht, neue Bootsektorviren zu erstellen, wenn neue veröffentlicht wurden. Allerdings sind diese möglicherweise nicht ausreichend kategorisiert, um erkannt zu werden, wenn Sie ein Antivirenprogramm zum Ausführen finden.

So entfernen Sie einen Bootsektor-Virus

Ein Antivirenprodukt sollte in der Lage sein, einen Bootsektorvirus relativ schnell zu entfernen. Dies setzt jedoch voraus, dass Sie ein Antivirenprodukt finden, das auf einem derart veralteten System funktioniert und den Virus erkennen kann. Modernere Bootkits können extrem schwer zu erkennen und zu entfernen sein, da sie normalerweise eingeschränkte Speicherbereiche infizieren. Beides kann durch eine vollständige Neuformatierung des Laufwerks behoben werden. Dieser Vorgang löscht jedoch alle Daten auf dem Laufwerk und ist daher nicht ideal.

Es ist theoretisch auch möglich, dass das Bootkit das Motherboard selbst infiziert, insbesondere das UEFI-BIOS. In diesem Fall sollte ein erneutes Flashen des Motherboards das Problem lösen. Dies ist jedoch möglicherweise nicht der Fall, wenn der Virus an anderer Stelle weiterhin besteht. Vor allem, wenn der Virus das Image, auf das das Motherboard geflasht wurde, erneut infizieren könnte. Der 100 % sichere Weg, einen Virus zu beseitigen, besteht darin, die infizierte Komponente wegzuwerfen. Dabei handelt es sich um Ihre Festplatte, Ihr Motherboard usw., nicht unbedingt um den gesamten Computer.

Abschluss

Ein Bootsektorvirus ist ein klassischer Typ aus der DOS-Ära. Sie infizierten den Bootsektor von Speichermedien und infizierten aktiv den Bootsektor aller anderen verfügbaren Speichermedien. Der Bootsektor war der Teil des Speichergeräts, der zuerst vom BIOS geladen wurde. Daher wurde die Malware sofort gestartet.

Da sie sich auf die BIOS- und DOS-Befehle verließen, verschwanden sie mit der Einführung von Windows. Eine moderne Version ist als Bootkit bekannt. Es verhält sich ähnlich und infiziert den Bootloader, der das Betriebssystem aufruft. Dies macht es sehr schwer, ihn zu erkennen oder zu entfernen, da moderne Sicherheitsmaßnahmen den Bootloader vor leichtem Zugriff schützen.