|
Systemviren benutzen Bestandteile des Betriebssystems als Wirte. Die gefährdeten Bereiche sind der Masterbootrecord (MBR)/Partitionstabelle, Partitionbootrecord, Diskettenbootsektor, FAT und das Wurzelverzeichnis (Root).
Bei einem Bootvorgang wertet der MBR die Verfügbarkeit der Festplatte als Laufwerk aus, was in der Partitionstabelle enthalten ist. Er lädt auch den Partitionbootrecord, der wiederum ein be- stimmtes Betriebssystem mit einer bestimmten Versionsnummer spezifiziert. Anschließend liegt die File-Allocation-Table (FAT), das Inhaltsverzeichnis des Laufwerks. Von dieser FAT gibt es zwei Kopien. So kann zum Beispiel mit Hilfe der zweiten FAT Fehler in der ersten FAT beho- ben werden. All diese Bestandteile liegen auf der Festplatte auf Spur 0/Kopf 0/Sektor 1. Wenn hier ein Virus zuschlägt, steht selbstverständlich das nachher geladene Betriebssystem unter dessen Kontrolle. Solche Viren werden auch Bootsektorviren benannt. Sie bedienen sich auch verschiedenster Methoden, um den Bootsektor zu infizieren.
Der Bootsektor wird einfach in einen anderen Sektor verschoben (dort befindliche Daten zerstört) und der Virencode in den Bootsektor kopiert. Beim nächsten Start wird nun zuerst der Virus abgearbeitet und dann zum eigentlichen Bootsektor verzweigt.
Andere Viren benutzen folgende Technik. Der Virus baut nur eine kleine Laderoutine in den Bootsektor ein. Er selbst liegt in einem "bad" Cluster, einen von ihm selbst erzeugten defekten Sektor, versteckt. Dies ist natürlich auch eine gute Tarnung, da diese Sektoren als Speicherbereich nicht berücksichtigt werden.
Die dritte Möglichkeit ist die: der Virus ermittelt den Zeiger auf die Clusterkette des aus- führbaren Programms (EXE, COM, ...). Dieser Zeiger wird durch einen Zeiger auf den Cluster des Virus ersetzt. Wir das Programm nun gestartet, wird zuerst der Virus ange- sprungen und erst an dessen Ende zum Orginalprogramm verzweigt.
|
