Ein Bootsektorvirus ist eine bestimmte Art von Virus, der nach dem Ort benannt ist, an dem er gefunden werden kann. Das wäre der Bootsektor von Disketten oder der Master Boot Record modernerer Festplatten. In einigen Fällen können sie anstelle des MBR den Bootsektor dieser Festplatten infizieren.
Der Code, aus dem der Virus besteht, wird ausgeführt, wenn alles, was sich auf der Festplatte oder dem Laufwerk befindet, hochgefahren wird. Mit anderen Worten, wenn der Benutzer versucht, eine infizierte Festplatte anzuschließen und zu verwenden, führt er den Virus aus. Sobald sie geladen sind, kopieren sich fast alle dieser Viren selbst auf andere verfügbare und kompatible Festplatten und Laufwerke, wenn also a Wenn in Ihrem Computer vier saubere Disketten eingelegt waren und eine fünfte infizierte hinzugefügt und verwendet wurde, würden wahrscheinlich alle fünf enden infiziert.
Was machen Bootsektorviren?
Aufgrund der Art und des Ortes, an dem sie platziert werden, werden Bootsektorviren ausgeführt, wenn das Gerät, auf dem sie sich befinden, hochgefahren oder angeschlossen und eingeschaltet wird. Sie sind Infektionen auf BIOS-Ebene, was bedeutet, dass sie keine besondere Benutzerinteraktion erfordern (
Der Nachteil ist, dass sie zur Verbreitung auf DOS-Befehle angewiesen sind. DOS wurde seit der Veröffentlichung von Windows 95 nicht mehr verwendet, zu diesem Zeitpunkt ging die Verwendung von Bootsektorviren schnell zurück, da sie nicht mehr funktionierten. Die ursprünglichen Bootsektor-Viren wären in einem modernen Computer, der keine DOS-Befehle verwendet/versteht, völlig harmlos – der Virentyp bleibt jedoch in einer neuen Variante bestehen.
Moderne Bootsektorviren
Das moderne Äquivalent wird oft als „Bootkit“ bezeichnet, das sich selbst in den MBR oder Master Boot Record schreibt. Auf diese Weise erzielen sie den gleichen Effekt eines frühen Starts im Boot-Prozess. Auf diese Weise können sie sowohl ihre Anwesenheit als auch ihre Aktivitäten hinter anderen Prozessen verbergen – und erfordern wiederum keine Benutzerinteraktion außer dem Hochfahren des Computers.
Bootkits sind nicht mit Wechselmedien kompatibel – mit anderen Worten, während die ursprünglichen Bootsektorviren auf Disketten gediehen, funktionieren Bootkits nicht so. Sie könnten beispielsweise keinen USB-Stick infizieren – sie lassen sich zwar darauf speichern und übertragen, würden aber nicht aktiviert. Andere Viren können von Wechselmedien wie USB-Sticks ausgeführt werden, Bootkits jedoch nicht.
Wie sieht ein Bootsektorvirus aus?
Wie bei jedem Virus hängt sein Aussehen davon ab, wer ihn erstellt hat und welchen Zweck er erfüllen soll. Ein Bootsektor muss immer 0x55 und 0xAA als die letzten beiden Datenbytes haben. Ohne sie verweigert der Computer entweder das Booten vollständig oder zeigt zumindest eine Fehlermeldung an. Diese Fehlermeldung – oder eine Bootverweigerung – kann einer von mehreren Indikatoren für einen Bootsektorvirus sein, obwohl sie keinen besonderen Hinweis darauf gibt, was der Virus möglicherweise tut.
So identifizieren Sie einen Bootsektorvirus
Ein Bootsektorvirus kann auf zwei verschiedene Arten identifiziert werden. Erstens durch seine Taten. Ein Bootsektorvirus infiziert den Teil des Speichermediums, der vom BIOS beim Booten geladen wird. Es infiziert auch aktiv alle anderen Speichermedien, die an den infizierten Computer angeschlossen sind. Denken Sie daran, dass moderne Bootkits etwas anders funktionieren und Geräte nicht automatisch infizieren. Die andere Möglichkeit, einen Bootsektorvirus zu identifizieren, ist die Verwendung von Antivirensoftware.
Notiz: Bootsektor-Viren sind im Wesentlichen veraltet und verlassen sich auf die Technologie der DOS-Ära. Diese Betriebssysteme werden wahrscheinlich nur minimal genutzt, insbesondere ältere Systeme. Ein Antivirenprodukt zu finden, das auf einem solchen Betriebssystem ausgeführt werden kann, wäre jetzt eine Herausforderung. Darüber hinaus hat sich wahrscheinlich niemand die Mühe gemacht, neue Bootsektorviren zu erstellen, wenn überhaupt neue veröffentlicht wurden, sind sie möglicherweise nicht angemessen kategorisiert, um erkannt zu werden, wenn Sie ein Antivirenprogramm finden laufen.
So entfernen Sie einen Bootsektorvirus
Ein Antivirus-Produkt sollte in der Lage sein, einen Bootsektorvirus relativ schnell loszuwerden. Dies setzt jedoch voraus, dass Sie ein Antivirenprodukt finden, das auf einem so veralteten System funktioniert und den Virus erkennen kann. Modernere Bootkits können extrem schwer zu erkennen und zu entfernen sein, da sie normalerweise eingeschränkte Speicherbereiche infizieren. Beide können durch eine vollständige Neuformatierung des Laufwerks überwunden werden. Dieser Vorgang wischt jedoch alle Daten auf dem Laufwerk und so ist nicht ideal.
Es ist theoretisch auch möglich, dass das Bootkit das Motherboard selbst infiziert, insbesondere das UEFI-BIOS. In diesem Fall sollte ein erneutes Flashen des Motherboards das Problem lösen, aber möglicherweise nicht, wenn der Virus an anderer Stelle fortbesteht. Vor allem, wenn der Virus das Image, auf das das Motherboard geflasht wurde, erneut infizieren könnte. Der 100-prozentig sichere Weg, einen Virus zu eliminieren, besteht darin, die infizierte Komponente wegzuwerfen. Das ist Ihre Festplatte, Ihr Motherboard usw., nicht unbedingt der ganze Computer.
Abschluss
Ein Bootsektorvirus ist ein klassischer Typ aus der DOS-Ära. Sie infizierten den Bootsektor von Speichermedien und infizierten aktiv den Bootsektor aller anderen verfügbaren Speichermedien. Der Bootsektor war der Teil des Speichergeräts, der zuerst vom BIOS geladen wurde. Daher wurde die Malware sofort gestartet.
Da sie sich auf die BIOS- und DOS-Befehle stützten, starben sie mit der Einführung von Windows aus. Eine moderne Version wird als Bootkit bezeichnet. Es verhält sich ähnlich und infiziert den Bootloader, der das Betriebssystem aufruft. Dies macht es sehr schwer zu erkennen oder zu entfernen, da moderne Sicherheitsmaßnahmen den Bootloader vor einem einfachen Zugriff schützen.