Bootvirus
Ein Bootvirus, auch Bootsektor-Virus (BSV) ist ein Computervirus, das beim Start des Rechners aktiv wird, noch bevor das Betriebssystem komplett geladen ist. Auf Disketten sitzt das Virus zumindest teilweise im Bootsektor; selbst Disketten, die keine Dateien enthalten, können also infiziert sein. Auf Festplatten kann das Virus im Master Boot Record (MBR) oder im logischen Bootsektor sitzen.
Bootviren sind die ältesten Computerviren überhaupt.
Bootsektorvirus
Bootsektorviren waren bis 1995 die meistverbreitete Form von Computerviren. Ein Bootsektorvirus infiziert den Bootsektor bzw. Bootblock von Disketten, oder beim IBM PC & Kompatiblen den Master Boot Record (MBR) einer Festplatte. Der Bootsektor bzw. -block ist der erste physische Teil einer Diskette („Spur 0“ oder „Sektor 0“) und einen Sektor groß: 512 Bytes. Der Bootsektor/-block wird von Startdisketten verwendet, um von der Diskette starten – englisch booten – zu können. Üblicherweise hat jede Diskette und Festplatte einen Bootsektor, auch wenn sie kein Startmedium ist.
Das erste bekannte Bootsektorvirus ist Elk Cloner für Apple DOS 3.3 auf dem Apple II. Es hatte zwar noch keine Schadfunktion, gilt aber als das erste Computerprogramm, das sich erfolgreich verbreitete, und ist damit das erste Computervirus von praktischer Bedeutung. Auf IBM-PC-kompatiblen Computern war ab 1986 das erste erfolgreiche Bootsektorvirus Pakistani Brain, es verbreitete sich innerhalb eines Jahres weltweit[1] und es gab zahlreiche Varianten.[2] Auf dem Heimcomputer Amiga von Commodore waren indes Ende ab 1987 Bootblock-Viren wie das SCA- und das Saddam-Virus verbreitet.[2]
Bootsektorviren nutzen die Tatsache aus, dass der Bootsektor oder Bootblock bei vielen Systemen immer als erstes geladen wird. Will ein Benutzer von einer infizierten Startdiskette booten oder vergisst er beim Start eine infizierte Diskette im Diskettenlaufwerk des Computers, greift die Systemfirmware – bei späteren Systemen nur noch bei entsprechender Einstellung der Startreihenfolge (Mitte der 1990er beim PC als BIOS Boot Specification standardisiert) – auf diesen Sektor zu und führt ihn aus. Viele Bootviren versuchen danach, weitere Startmedien zu infizieren, beispielsweise den MBR der Festplatte, um weiterhin bei jedem Start des Computers ausgeführt zu werden. Wird ein so infizierter Computer erneut ohne die infizierte Diskette im Diskettenlaufwerk gestartet, wird das Virus bereits aus dem MBR geladen, der normalerweise für das Erkennen der verschiedenen Partitionen der Festplatte zuständig ist.
Das so geladene Virus bleibt nach jedem Start resident im Speicher und überwacht die Zugriffe auf Disketten. Wird nun eine noch nicht infizierte Diskette eingelegt, infiziert das Virus den Bootsektor, sofern der Schreibschutz nicht aktiviert ist.[2] Um ein Bootsektorvirus in Umlauf zu bringen, wurden auch sogenannte „Dropper“ (von englisch (to) drop, übersetzt in etwa fallen lassen) verwendet.[1] Dabei handelt es sich um ein Computerprogramm, das bei der Ausführung das eigentliche Virus in den Bootsektor schreibt – ein Trojanisches Pferd. Eine Kombination aus Dropper und Dateivirus nennt man Hybridvirus.
Die bekanntesten Bootviren erschienen in der Zeit von 1987 bis 1997. Spätere Betriebssysteme und Hardwarevorkehrungen überwachen und sichern Bootsektoren und den MBR weitgehend effektiv. Als Disketten immer mehr an Bedeutung verloren, wurde diese Virenart seltener. Heutzutage gibt es beinahe keine Bootsektorviren mehr, da das PC-BIOS und moderne Betriebssysteme meistens einen gut funktionierenden Schutz gegen Bootviren haben. Zwar gibt es experimentelle Bootsektorviren, die diesen Schutz umgehen sollen, jedoch ist ihre Verbreitung zu langsam, um ein Problem darstellen zu können.[1]
Auf dem BIOS-Nachfolger UEFI wird der Bootsektor nicht mehr zum Starten eines Systems verwendet. Außerdem gibt es mit Secure Boot einen effektiven Schutz nicht nur gegen Bootviren.
Verbreitete und daher bekannte Bootsektorviren:
- 1982: Elk Cloner (Apple II)
- 1986: Brain (DOS-PC)
- 1987: Stoned (DOS-PC)
- 1988: Byte Bandit (Amiga)
- 1989: Disk Killer (DOS-PC)
- 1989: Lamer Exterminator (Amiga)
- 1990: Form (DOS-PC)
- 1991: Michelangelo (DOS-PC)
- 1992: Parity Boot (DOS-PC, OS/2)
Chainloader-Problem
Bootviren für IBM-PC-kompatible Systeme mit BIOS verwenden im Prinzip ähnliche Techniken wie Chainloader: Sie überschreiben den MBR mit Malware und springen den ursprünglichen Boot-Code an, den sie dazu vorher an eine andere Stelle kopiert haben. Wenn bei einer Infektion mit einem Bootvirus so ein Chainloader aktiv war, entsteht evtl. folgende Situation:
- Der Chainloader oder ein Disk Overlay enthält die nötige Boot-Information
- Der Virus verschiebt den Chainloader / das Disk-Overlay und zeigt selber auf dieses
- Wird nun der Bootvirus durch Überschreiben des MBRs entfernt, zeigt vom MBR nichts mehr auf die tatsächliche Bootinformationen zur Plattengeometrie. Das System kann die Festplatte nicht mehr ansteuern.
Virenscanner können unter Umständen den überschriebenen Code aus dem MBR wieder finden und zurück transferieren. Darum ist ein generisches Überschreiben des MBR in diesen Fällen oft nicht angebracht.
VMBRs
Eine neue Variante der Idee stellen VMBRs dar, die beim Rechnerstart eine VM starten und das vorhandene Betriebssystem in diese hinein laden. Dabei bleibt außerhalb des Betriebssystems das VMBR von außen erreichbar, ohne dass das Betriebssystem davon berührt wird. Im laufenden System ist dies also schwer erkennbar, auch für Virenscanner.
Einzelnachweise
- Thomas Rieske, Wolfgang Nefzger: Computerviren: Grundlagen; Boot- und Dateiviren. In: Computerwoche Tec-Workshop. 25. September 2001, abgerufen am 4. März 2024.
- Markus Will: Zahlen, bitte! 256 Bytes, um den User zu ärgern – Das erste Computervirus. In: Heise online. 10. November 2023. Abgerufen am 4. März 2024.