Bootsektorviren: Unterschied zwischen den Versionen

Aktuelle Version vom 25. November 2025, 16:50 Uhr

Jeder bootfähige Datenträger besitzt einen speziellen Startsektor, in dem grundlegende Routinen für die Hardwareinitialisierung und den Ladevorgang des Betriebssystems hinterlegt sind.

Dieser Startsektor – auch Bootsektor bzw. bei Festplatten MBR genannt – liegt immer am ersten physischen Sektor des Datenträgers.

Bootsektorviren nutzen diesen festen Ort, indem sie eigenen Schadcode in den Startsektor schreiben.

Damit das System weiterhin bootfähig bleibt, verschieben oder verändern Bootsektorviren den ursprünglichen Inhalt des MBR an eine andere Stelle.

Beim Einschalten wird dadurch zuerst der Virus ausgeführt, bevor der ursprüngliche Bootcode geladen wird.

Der Virus kann sich so unbemerkt verbreiten, da er vor dem Betriebssystem aktiv wird und dessen Sicherheitsfunktionen umgeht.

Verbreitung erfolgt häufig über bootfähige Wechselmedien wie USB-Sticks, die versehentlich am Rechner stecken bleiben.

Einige Varianten verschlüsseln oder verstecken den ausgelagerten Original-Bootcode vollständig.

Wird der Virus entfernt, ohne den ursprünglichen MBR korrekt wiederherzustellen, kann der Datenträger anschließend unlesbar oder nicht mehr startfähig sein.

@@ Zeile 1: / Zeile 1: @@
-*Jeder bootfähige Datenträger besitzt einen speziellen Sektor, in dem wichtige Informationen für den Startvorgang des jeweiligen Computersystens enthalten sind. In diesem ersten Sektor 0 finden sich Routinen zum Testen und Initialisieren der Hardware und zum Aufruf der Startfunktionen des Betriebsystems. Dieser Umstand macht den Sektor 0, auch Bootsektor genannt, zum klassischen Angriffsziel für Computerviren. Speziell auf Festplatten zielen die Viren dabei auf den sog. Master-Boot-Record (MBR). Dieser befindet sich auf dem ersten physikalischen Sektor der Festplatte und enthält Daten über sämtliche vorhandenen Partitionen aus denen das Betriebsystem gestartet werden soll. Ein Bootsektor-Virus lagert bei der Infektion dieses kleine Programm an eine andere Stelle aus, oder patcht dieses, um sich so ausreichenden Platz in dem Bootsektor zu schaffen. Der Datenträger bleibt somit weiterhin bootfähig, indem der Virus den Startaufruf an den verschobenen oder veränderten MBR weiterleitet.
-*Es existieren Bootsektor-Viren, die den verlagerten MBR komplett verschlüsseln, so dass dieser ohne den aktiven Virus nicht mehr lesbar ist. Wird ein Virus in solchen Fällen durch ein Anti-Virus-Programm beseitigt, wird die betroffene Festplatte praktisch unlesbar. Man sollte sich deshalb unbedingt vorweg darüber informieren, welcher Virus sich in einem infizierten System befindet.
+<!-- basiert auf Kapitel 7.2 (Virenarten), Buch HERDT -->
+*Jeder bootfähige Datenträger besitzt einen speziellen Startsektor, in dem grundlegende Routinen für die Hardwareinitialisierung und den Ladevorgang des Betriebssystems hinterlegt sind.
+*Dieser Startsektor – auch Bootsektor bzw. bei Festplatten MBR genannt – liegt immer am ersten physischen Sektor des Datenträgers.
+*Bootsektorviren nutzen diesen festen Ort, indem sie eigenen Schadcode in den Startsektor schreiben.
+*Damit das System weiterhin bootfähig bleibt, verschieben oder verändern Bootsektorviren den ursprünglichen Inhalt des MBR an eine andere Stelle.
+*Beim Einschalten wird dadurch zuerst der Virus ausgeführt, bevor der ursprüngliche Bootcode geladen wird.
+*Der Virus kann sich so unbemerkt verbreiten, da er vor dem Betriebssystem aktiv wird und dessen Sicherheitsfunktionen umgeht.
+*Verbreitung erfolgt häufig über bootfähige Wechselmedien wie USB-Sticks, die versehentlich am Rechner stecken bleiben.
+*Einige Varianten verschlüsseln oder verstecken den ausgelagerten Original-Bootcode vollständig.
+*Wird der Virus entfernt, ohne den ursprünglichen MBR korrekt wiederherzustellen, kann der Datenträger anschließend unlesbar oder nicht mehr startfähig sein.

Bootsektorviren: Unterschied zwischen den Versionen

Aktuelle Version vom 25. November 2025, 16:50 Uhr

Navigationsmenü

Suche