Computerviren: Grundlagen

Boot- und Dateiviren

Mit einem Bootvirus fing alles an: 1986 verbreitete sich Pakistani Brain innerhalb eines Jahres rund um die Welt, obwohl der Virus nur Disketten und keine Festplatten infizierte. Bootviren funktionieren ähnlich wie ein Betriebssystem: Beim Start eines PCs führt das eingebaute BIOS-Programm eine kleine Startroutine von der Festplatte aus. Sie ist im MBR am Anfang der Festplatte gespeichert. Dieses Startprogramm ruft den Startcode von Windows oder eines anderen Betriebssystems im Bootsektor der aktiven Partition auf.

Auch jede Diskette hat einen Bootsektor. Dort und/oder im MBR ersetzen Bootviren den Startcode. So wird der Schädling vor allen anderen Programmen aktiv und kann jede eingelegte Diskette infizieren. Danach aktiviert er den normalen Bootcode des Betriebssystems - der Anwender merkt davon nichts.

Der Infektionsweg für einen Bootvirus ist klar: Beim Einschalten des PCs liegt eine Diskette im Laufwerk, und der PC versucht, davon zu booten. Weil ein Bootvirus keine Datei zur Verbreitung benötigt, kann auch eine ganz "leere" Diskette einen Bootvirus enthalten. Da Bootviren auf diese Weise lange Zeit unbemerkt bleiben, gehören Sie zu den hartnäckigsten Vertretern ihrer Art.

Ein beliebiges Programm - ein so genannter Dropper - kann beim Start ebenfalls einen Bootvirus auf die Festplatte oder Diskette kopieren. Selbst einige Makroviren gehen so vor. Darüber hinaus gibt es so genannte Multipartite-Viren, die die Eigenschaften von Boot- und Dateiviren vereinen.

Dateiviren attackieren ausführbare Programmdateien, in die sie ihren eigenen Code kopieren. Wenn das manipulierte Programm gestartet wird, aktiviert das zunächst den Virus, der nun weitere Programme infizieren oder seine Schadensfunktion ausüben kann. Dann lädt er das Originalprogramm.