imported>Regina2024: /* growthexperiments-addlink-summary-summary:3|0|0 */

2024-08-25T11:41:28Z

growthexperiments-addlink-summary-summary:3|0|0

Neue Seite

{{Belege fehlen}}
Ein '''Bootvirus''', auch '''Bootsektor-Virus''' (BSV) ist ein [[Computervirus]], das beim [[Booten|Start]] des [[Computer|Rechners]] aktiv wird, noch bevor das [[Betriebssystem]] komplett geladen ist. Auf [[Diskette]]n sitzt das Virus zumindest teilweise im [[Bootsektor]]; selbst Disketten, die keine [[Datei]]en enthalten, können also infiziert sein. Auf [[Festplatte]]n kann das Virus im [[Master Boot Record]] (MBR) oder im logischen Bootsektor sitzen.

Bootviren sind die ältesten Computerviren überhaupt.

== Bootsektorvirus ==
Bootsektorviren waren bis [[1995]] die meistverbreitete Form von Computerviren. Ein Bootsektorvirus infiziert den [[Bootsektor]] bzw. Bootblock von [[Diskette]]n, oder beim [[IBM Personal Computer|IBM PC]] [[IBM-PC-kompatibler Computer|& Kompatiblen]] den {{lang|en|[[Master Boot Record]]}} (MBR) einer [[Festplatte]]. Der Bootsektor bzw. -block ist der erste physische Teil einer Diskette („Spur 0“ oder „Sektor 0“) und einen Sektor groß: 512 Bytes. Der Bootsektor/-block wird von [[Startdiskette]]n verwendet, um von der Diskette starten – {{enS|booten}} – zu können. Üblicherweise hat jede Diskette und Festplatte einen Bootsektor, auch wenn sie kein [[Startmedium]] ist.

Das erste bekannte Bootsektorvirus ist [[Elk Cloner]] für [[Apple DOS]] 3.3 auf dem [[Apple II]]. Es hatte zwar noch keine Schadfunktion, gilt aber als das erste [[Computerprogramm]], das sich erfolgreich verbreitete, und ist damit das erste [[Computervirus]] von praktischer Bedeutung. Auf [[IBM-PC-kompatibler Computer|IBM-PC-kompatiblen Computern]] war ab 1986 das erste erfolgreiche Bootsektorvirus [[Brain (Computervirus)|Pakistani Brain]], es verbreitete sich innerhalb eines Jahres weltweit<ref name="tecchannel.de_computerviren-grundlagen" /> und es gab zahlreiche Varianten.<ref name="heiseonline_9357493" /> Auf dem [[Heimcomputer]] [[Amiga]] von [[Commodore International|Commodore]] waren indes Ende ab 1987 Bootblock-Viren wie das [[SCA-Virus|SCA-]] und das [[Saddam Hussein (Computervirus)|Saddam]]-Virus verbreitet.<ref name="heiseonline_9357493">{{Heise online |ID=9357493 |Titel=Zahlen, bitte! 256 Bytes, um den User zu ärgern – Das erste Computervirus |Autor=Markus Will |Datum=2023-11-10 |Abruf=2024-03-04}}</ref>

Bootsektorviren nutzen die Tatsache aus, dass der Bootsektor oder Bootblock bei vielen Systemen immer als erstes geladen wird. Will ein Benutzer von einer infizierten Startdiskette booten oder vergisst er beim Start eine infizierte Diskette im [[Diskettenlaufwerk]] des Computers, greift die [[Systemfirmware]] – bei späteren Systemen nur noch bei entsprechender Einstellung der Startreihenfolge (Mitte der 1990er beim [[IBM-PC-kompatibler Computer|PC]] als {{lang|en|[[BIOS (IBM PC)#BIOS Boot Specification|BIOS Boot Specification]]}} standardisiert) – auf diesen Sektor zu und führt ihn aus. Viele Bootviren versuchen danach, weitere Startmedien zu infizieren, beispielsweise den MBR der Festplatte, um weiterhin bei jedem Start des Computers ausgeführt zu werden. Wird ein so infizierter Computer erneut ohne die infizierte Diskette im Diskettenlaufwerk gestartet, wird das Virus bereits aus dem MBR geladen, der normalerweise für das Erkennen der verschiedenen Partitionen der Festplatte zuständig ist.

Das so geladene Virus bleibt nach jedem Start [[Speicherresidenz|resident]] im Speicher und überwacht die Zugriffe auf Disketten. Wird nun eine noch nicht infizierte Diskette eingelegt, infiziert das Virus den Bootsektor, sofern der [[Schreibschutz]] nicht aktiviert ist.<ref name="heiseonline_9357493" /> Um ein Bootsektorvirus in Umlauf zu bringen, wurden auch sogenannte „[[Dropper]]“ (von {{enS|(to) drop}}, übersetzt in etwa ''fallen lassen'') verwendet.<ref name="tecchannel.de_computerviren-grundlagen" /> Dabei handelt es sich um ein Computerprogramm, das bei der Ausführung das eigentliche Virus in den Bootsektor schreibt – ein [[Trojanisches Pferd (Computerprogramm)|Trojanisches Pferd]]. Eine Kombination aus Dropper und [[Dateivirus]] nennt man ''Hybridvirus''.

Die bekanntesten Bootviren erschienen in der Zeit von 1987 bis 1997. Spätere Betriebssysteme und Hardwarevorkehrungen überwachen und sichern Bootsektoren und den MBR weitgehend effektiv. Als Disketten immer mehr an Bedeutung verloren, wurde diese Virenart seltener. Heutzutage gibt es beinahe keine Bootsektorviren mehr, da das PC-BIOS und moderne Betriebssysteme meistens einen gut funktionierenden Schutz gegen Bootviren haben. Zwar gibt es experimentelle Bootsektorviren, die diesen Schutz umgehen sollen, jedoch ist ihre Verbreitung zu langsam, um ein Problem darstellen zu können.<ref name="tecchannel.de_computerviren-grundlagen">{{Internetquelle |autor=Thomas Rieske, Wolfgang Nefzger |url=https://www.tecchannel.de/a/computerviren-grundlagen,401215,6 |titel=Computerviren: Grundlagen; Boot- und Dateiviren |werk=Computerwoche Tec-Workshop |datum=2001-09-25 |abruf=2024-03-04}}</ref>

Auf dem BIOS-Nachfolger [[Unified Extensible Firmware Interface|UEFI]] wird der Bootsektor nicht mehr zum Starten eines Systems verwendet. Außerdem gibt es mit Secure Boot einen effektiven Schutz nicht nur gegen Bootviren.

Verbreitete und daher bekannte Bootsektorviren:
{{Mehrspaltige Liste|
* 1982: [[Elk Cloner]] ([[Apple II]])
* 1986: [[Brain (Computervirus)|Brain]] ([[PC-kompatibles DOS|DOS]]-[[IBM-PC-kompatibler Computer|PC]])
* 1987: [[Stoned (Computervirus)|Stoned]] (DOS-PC)
* 1988: [[Byte Bandit]] ([[Amiga]])
* 1989: [[Disk Killer]] (DOS-PC)
* 1989: [[Lamer Exterminator]] (Amiga)
* 1990: [[Form (Computervirus)|Form]] (DOS-PC)
* 1991: [[Michelangelo (Computervirus)|Michelangelo]] (DOS-PC)
* 1992: [[Parity Boot]] (DOS-PC, [[OS/2]])
}}

== Chainloader-Problem ==
Bootviren für [[IBM-PC-kompatibler Computer|IBM-PC-kompatible]] Systeme mit [[BIOS (IBM PC)|BIOS]] verwenden im Prinzip ähnliche Techniken wie [[Chainloader]]: Sie überschreiben den MBR mit [[Malware]] und springen den ursprünglichen Boot-Code an, den sie dazu vorher an eine andere Stelle kopiert haben. Wenn bei einer Infektion mit einem Bootvirus so ein Chainloader aktiv war, entsteht evtl. folgende Situation:
* Der Chainloader oder ein [[Dynamic Drive Overlay|Disk Overlay]] enthält die nötige Boot-Information
* Der Virus verschiebt den Chainloader / das Disk-Overlay und zeigt selber auf dieses
* Wird nun der Bootvirus durch Überschreiben des MBRs entfernt, zeigt vom MBR nichts mehr auf die tatsächliche Bootinformationen zur Plattengeometrie. Das System kann die Festplatte nicht mehr ansteuern.

Virenscanner können unter Umständen den überschriebenen Code aus dem MBR wieder finden und zurück transferieren. Darum ist ein generisches Überschreiben des MBR in diesen Fällen oft nicht angebracht.

== VMBRs ==
Eine neue Variante der Idee stellen [[Virtual Machine Based Rootkit|VMBR]]s dar, die beim Rechnerstart eine [[Virtuelle Maschine|VM]] starten und das vorhandene [[Betriebssystem]] in diese hinein laden. Dabei bleibt außerhalb des Betriebssystems das VMBR von außen erreichbar, ohne dass das Betriebssystem davon berührt wird. Im laufenden System ist dies also schwer erkennbar, auch für [[Antivirenprogramm|Virenscanner]].

== Einzelnachweise ==
<references responsive />

[[Kategorie:Schadprogramm]]
[[Kategorie:Computervirus]]
[[Kategorie:Bootsektorvirus| ]]

Bootvirus - Versionsgeschichte

imported>Regina2024: /* growthexperiments-addlink-summary-summary:3|0|0 */