Bootsektorviren
Zur Navigation springen
Zur Suche springen
- Jeder bootfähige Datenträger besitzt einen speziellen Startsektor, in dem grundlegende Routinen für die Hardwareinitialisierung und den Ladevorgang des Betriebssystems hinterlegt sind.
- Dieser Startsektor – auch Bootsektor bzw. bei Festplatten MBR genannt – liegt immer am ersten physischen Sektor des Datenträgers.
- Bootsektorviren nutzen diesen festen Ort, indem sie eigenen Schadcode in den Startsektor schreiben.
- Damit das System weiterhin bootfähig bleibt, verschieben oder verändern Bootsektorviren den ursprünglichen Inhalt des MBR an eine andere Stelle.
- Beim Einschalten wird dadurch zuerst der Virus ausgeführt, bevor der ursprüngliche Bootcode geladen wird.
- Der Virus kann sich so unbemerkt verbreiten, da er vor dem Betriebssystem aktiv wird und dessen Sicherheitsfunktionen umgeht.
- Verbreitung erfolgt häufig über bootfähige Wechselmedien wie USB-Sticks, die versehentlich am Rechner stecken bleiben.
- Einige Varianten verschlüsseln oder verstecken den ausgelagerten Original-Bootcode vollständig.
- Wird der Virus entfernt, ohne den ursprünglichen MBR korrekt wiederherzustellen, kann der Datenträger anschließend unlesbar oder nicht mehr startfähig sein.