Bootsektorviren
(am) – Die am häufigsten auftretenden Viren sind Bootsektorviren wie der Form- und der Stoned-Virus. Solche Viren infizieren die Bootsektoren von Disketten und entweder den MBR (Master Boot Record bzw. Master-Boot-Partitionssektor) oder den DBR (DOS Boot Record bzw. DOS-Bootsektor) von Festplatten. Ein Bootsektorvirus vermehrt sich folgendermaßen:
Eine Diskette mit Daten (vielleicht einigen Textverarbeitungsdateien und einem Tabellenkalkulationsblatt) ist angekommen. Die Daten sind Bestandteil eines Projekts, an dem Sie zusammen mit einem Kollegen arbeiten. Ihr Kollege weiß jedoch nicht, dass sein Computer und damit auch die Diskette, die er Ihnen zugeschickt hat, mit einem Bootsektorvirus infiziert ist. Sie legen die Diskette in Laufwerk A: ein und beginnen, die darauf enthaltenen Dateien zu verwenden. Bis jetzt hat der Virus noch gar nichts gemacht. Bei Feierabend schalten Sie den Computer aus und gehen nach Hause.
Am nächsten Morgen betreten Sie Ihr Büro und schalten den Computer ein. Die Diskette befindet sich noch in Laufwerk A:, also versucht der Computer, von dieser Diskette zu starten. Er lädt den ersten Sektor der Diskette in den Speicher, um den darin enthaltenen Code auszuführen (normalerweise handelt es sich dabei um ein kleines Programm, das von Microsoft zum Laden von DOS geschrieben wurde) oder um Ihnen mitzuteilen “Keine Systemdiskette, bitte drücken Sie eine beliebige Taste, um fortzufahren”, falls er keine DOS-Systemdateien darauf finden kann. Diese Meldung haben Sie schon tausendmal gesehen, also öffnen Sie die Laufwerksverriegelung und drücken eine Taste.
Aber diese Diskette ist mit dem Stoned-Virus infiziert, und daher wurde nicht das Programm von Microsoft, sondern der 1987 in Neuseeland geschriebene (und deshalb manchmal auch als New – Zealand-Virus bezeichnete) Stoned-Virus ausgeführt. Der Virus installiert sich selbst auf der Festplatte, ersetzt den MBR und kopiert den Original-MBR an eine andere Stelle der Festplatte.
Wenn Sie von der Festplatte starten, wird der MBR ausgeführt, der jetzt jedoch nichts anderes als der Stoned-Virus ist. Der Stoned-Virus wird speicherresident, fängt den Interrupt 13h (Lesen von/Schreiben auf Datenträger) ab und lädt danach den Original-MBR, und von da ab wird der Startvorgang ganz normal fortgesetzt. Da jedoch der Interrupt für das Lesen von/Schreiben auf Diskette abgefangen wurde, wird bei jedem Schreib- oder Lesezugriff auf Laufwerk A: (obwohl Sie denken, es handle sich um einen Lesezugriff, schreibt jedoch in Wirklichkeit der Virus auf Diskette) die Diskette untersucht, und wenn sie noch nicht infiziert ist, wird der Stoned-Virus im Bootsektor installiert. Somit infiziert Ihr Computer jetzt jede Diskette, die in Laufwerk A: eingelegt wird, und früher oder später wird eine dieser Disketten an einen Kollegen weitergegeben, und der Kreislauf beginnt von vorne.
Im Detail unterscheiden sich die verschiedenen Bootsektorviren in ihrer Arbeitsweise voneinander, aber allen liegt dasselbe Prinzip zugrunde. Sie werden über die Bootsektoren infizierter Disketten übertragen und können nur auf diesem Weg weitergegeben werden (ein Bootsektorvirus kann sich beispielsweise nicht über ein Netzwerk ausbreiten). Eine Infektion kann nur durch den Versuch, von einer infizierten Diskette zu starten, stattfinden, selbst wenn dieser Versuch erfolglos verläuft.
Bootsektorviren befallen PCs. Dabei spielt es überhaupt keine Rolle, welches Betriebssystem verwendet wird oder welche Schutzprogramme installiert sind, denn zu dem Zeitpunkt, zu dem sich der Bootsektorvirus installiert, werden das Betriebssystem oder das Schutzprogramm noch gar nicht ausgeführt. Bei einigen Betriebssystemen allerdings, die nicht auf DOS beruhen, wird zwar der PC infiziert, kann sich der Virus jedoch nicht auf Disketten kopieren, die danach eingelegt werden, und sich somit nicht ausbreiten.
Die meisten Leute sind vollkommen überrascht, wenn sie erfahren, daß sich ein Virus auf diese Art verbreitet, worin wohl auch der Grund für die Häufigkeit der Bootsektorviren zu suchen ist. Da jedoch die Zahl der Diskettenlaufwerke langsam abnimmt, wird auch die Gattung Bootsektorviren ihr Ende finden.
Start der Serie mit Teil 1 – Wie infiziert ein Virus eine Datei…
Als nächstes folgt Teil 3 – Companionviren
