Zum Hauptinhalt springen

Bei einem Boot-Sektor-Virus handelt es sich um einen Virustyp, der den Boot-Sektor von Disketten oder den Primary Boot Record von Festplatten infiziert (manchmal infizieren sie anstelle des Primary Boot Record auch den Boot-Sektor der Festplatte). Der infizierte Code wird ausgeführt, wenn das System über einen infizierten Datenträger hochgefahren wird, und infiziert andere Disketten, wenn sie in den infizierten Computer eingelegt werden. Während die Infektion durch Boot-Sektor-Viren auf BIOS-Ebene stattfindet, nutzen sie DOS-Befehle, um sich auf Disketten zu verbreiten. Deshalb nahm ihre Verbreitung mit der Einführung von Windows 95 – in dem DOS-Befehle kaum noch eine Rolle spielten – langsam ab. Heute gibt es sogenannte „Bootkits“, die ihren Code in den Primary Boot Record schreiben, um früh im Startvorgang geladen zu werden und die Aktionen der unter Windows ausgeführten Malware zu verbergen. Sie sind jedoch nicht dazu gedacht, Wechseldatenträger zu infizieren.

Das einzig absolute Kriterium für einen Boot-Sektor sind 0x55 und 0xAA als die letzten zwei Bytes. Ist diese Signatur nicht vorhanden oder beschädigt, zeigt der Computer eine Fehlermeldung an oder fährt nicht hoch. Probleme mit diesem Sektor können von fehlerhaften Verbindungen zu physischen Laufwerken oder von einem Boot-Sektor-Virus herrühren.

Boot-Sektor-Viren – Verbreitung und Schutz

Boot-Sektor-Viren werden am häufigsten über physische Datenträger verbreitet. Wenn eine infizierte Diskette oder ein infiziertes USB-Laufwerk mit dem Computer verbunden wird, wird die Infektion übertragen, sobald der VBR des Datenträgers gelesen wird, und der vorhandene Boot-Code wird verändert oder ersetzt. Wenn der Benutzer das nächste Mal versucht, seinen Computer hochzufahren, wird der Virus umgehend geladen und als Teil des Primary Boot Record ausgeführt. Auch E-Mail-Anhänge können Boot-Virus-Code enthalten. Werden sie geöffnet, können diese Anhänge den Host-Computer infizieren und Befehle enthalten, die weitere infizierte E-Mails an die Kontaktliste des Benutzers senden. Verbesserungen an der BIOS-Architektur haben die Verbreitung von Boot-Viren reduziert: durch die Möglichkeit, Veränderungen am ersten Sektor einer Festplatte zu verhindern.

Die Entfernung eines Boot-Sektor-Virus kann sich als schwierig erweisen, da er den Boot-Sektor möglicherweise verschlüsselt. In vielen Fällen wissen Benutzer gar nicht, dass ihr Computer infiziert wurde, bis sie eine Antiviren-Lösung oder einen Malware-Scan ausführen. Dementsprechend ist es für Benutzer essenziell, regelmäßig aktualisierte Virenschutz-Programme zu nutzen, die auf eine umfangreiche Datenbank von Boot-Viren zurückgreifen können und über die erforderlichen Daten verfügen, um sie sicher zu entfernen. Wenn der Virus aufgrund seiner Verschlüsselung oder des immensen Schadens am vorhandenen Code nicht entfernt werden kann, muss die Festplatte möglicherweise neu formatiert werden, um die Infektion zu beseitigen.

Was ist ein Boot-Sektor-Virus?

Bei einem Boot-Sektor-Virus handelt es sich um einen Virustyp, der den Boot-Sektor von Disketten oder den Primary Boot Record von Festplatten infiziert.
Kaspersky Logo