Back to Top

PHNETZ - Internetagentur

Marketing für Ihren Erfolg

Bootviren

1. Was ist ein Boot‑Virus?

Ein Boot‑Virus (auch Boot‑Infektion, Boot‑Sector‑Virus oder Master‑Boot‑Record‑Malware genannt) ist Schadsoftware, die sich im Boot‑Sektor eines Speichermediums (z. B. Festplatte, USB‑Stick, SD‑Karte) oder im Master Boot Record (MBR)/GUID Partition Table (GPT) einbringt. Beim Systemstart wird dieser Code vor dem eigentlichen Betriebssystem ausgeführt, sodass der Angreifer die Kontrolle über den gesamten Boot‑Prozess erlangen kann.

 

Typische Ziele

Ziel
Warum attraktiv für Angreifer
Root‑Privilegien
Boot‑Code läuft vor dem OS, kann Kernel‑ oder BIOS‑Ebenen manipulieren.
Persistenz
Selbst nach Neu­installation des OS bleibt die Infektion erhalten (solange das infizierte Medium verwendet wird).
Breite Verbreitung
USB‑Sticks, Rettungs‑Live‑CDs, Disk‑Images – leicht zu transportieren.
Stealth
Oft unsichtbar im Dateisystem, nur im Boot‑Sektor.
Payload‑Vielfalt
Key‑logger, Ransomware‑Installer, Botnet‑Rekrutierung, Backdoor.

2. Funktionsweise

  1. Infektions‑Vektor – Benutzer führt ein infiziertes Medium aus (z. B. bootet von einem USB‑Stick, legt eine manipulierte Diskette ein).
  2. Schreiben in den Boot‑Sektor – Der Virus überschreibt den ursprünglichen Boot‑Code (z. B. MBR, VBR, EFI‑System‑Partition).
  3. Ketten­ladung (Chain‑Loading) – Der Virus führt zunächst seinen eigenen Code aus und lädt anschließend den legitimen Boot‑Loader, wobei er seine eigenen Routinen in den Speicher lädt.
  4. Persistenz‑Mechanismus – Gefahr, dass der Virus bei jedem Neustart erneut aktiv wird; bei modernen Systemen kann er auch im UEFI‑Firmware‑NVRAM (UEFI‑Rootkit) verankert werden.
  5. Ausführung von Payload – Nach dem Laden des OS kann der Virus zusätzliche Malware installieren, Systemdateien manipulieren oder Netzwerkverbindungen zu C&C‑Servern herstellen.
 

Technische Details

Ebene
Komponente
Angriffstechnik
MBR (Master Boot Record) – 512 Byte am Beginn der Festplatte
Überschreiben des 440 Byte‑Boot‑Codes, Modifikation der Partitionstabelle.
 
VBR (Volume Boot Record) – 512 Byte am Beginn jeder Partition
Manipulation des Boot‑Sektors von Partitionen (z. B. FAT, NTFS).
 
GPT (GUID Partition Table) – Kopf‑ und Fuß‑Sektoren
Ändern der Protective MBR oder der EFI‑System‑Partition.
 
UEFI‑Firmware (NVRAM)
Schreiben von schädlichen EFI‑Executables in die EFI‑System‑Partition, Ändern von Boot‑Option‑Variablen (BootNext, BootOrder).
 
Boot‑Loader‑Hijacking (z. B. GRUB, Windows‑Boot‑Manager)
Einfügen von Schadcode in die Konfigurationsdateien oder das Laden von manipulativen Modulen (initrd, boot.ini).
 

3. Erkennungs‑ und Analyse‑Methoden

Methode
Werkzeuge / Vorgehen
MD5/SHA‑Hash‑Check des ersten 1 MB (MBR+VBR) mit bekannten Signaturen (z. B. bootrec /scanboot).
 
Volatile‑Memory‑Dump – Analyse des RAM‑Inhalts kurz nach dem Start (Volatility, Rekall).
 
Live‑Forensics – Booten von einer forensischen Live‑CD (Kali, Helix) und Untersuchung des Boot‑Sektors (dd if=/dev/sda of=mbr.bin bs=512 count=2).
 
UEFI‑Variable‑Dumpefivar -l (Linux) oder bcdedit /enum all (Windows) zur Auflistung von verdächtigen Boot‑Einträgen.
 
Rootkit‑Scanner – Tools wie GMER, RootkitRevealer, Chkrootkit, rkhunter prüfen versteckte Boot‑Einträge.
 
Signature‑Based AV – Aktualisierte Antiviren‑Engines erkennen bekannte Boot‑Sector‑Signaturen.
 
Heuristische Analyse – Verhaltensbasierte Erkennung von ungewöhnlichen Schreibvorgängen im ersten Sektor.
 

4. Entfernung / Desinfektion

  1. System vom infizierten Medium trennen (USB entfernen, externer Datenträger abkoppeln).
  2. Boot‑Medium mit sauberem Werkzeug (z. B. fdisk, gdisk) prüfen und ggf. MBR neu schreiben (bootrec /fixmbr, dd if=/usr/lib/syslinux/mbr.bin of=/dev/sda).
  3. UEFI‑Variablen zurücksetzenbcdedit /deletevalue {bootmgr} description oder auf Linux efibootmgr -b <Nummer> -B.
  4. Komplett‑Reformat des betroffenen Geräts (Low‑Level‑Format, dd if=/dev/zero of=/dev/sdx bs=1M).
  5. Firmware‑Update – Bei UEFI‑Rootkits muss die Firmware neu geflasht werden (herstellerspezifisch).
  6. System‑Wiederherstellung – Nach Bereinigung das Betriebssystem neu installieren oder ein sauberes Backup zurückspielen.
 

5. Prävention

Maßnahme
Beschreibung
Secure Boot aktivieren (UEFI) – nur signierte Boot‑Loader zulassen.
 
Boot‑Options sperren – BIOS/UEFI‑Passwort, um die Boot‑Reihenfolge zu schützen.
 
Keine unbekannten Medien – Nur vertrauenswürdige USB‑Sticks / CDs verwenden.
 
Regelmäßige Firmware‑Updates – Schließt bekannte Schwachstellen im UEFI.
 
Antivirus‑Boot‑Scan – Viele AV‑Programme bieten Pre‑Boot‑Scanning (z. B. Kaspersky Rescue Disk).
 
Hardware‑Write‑Protection – Schreibschutz‑Schalter bei USB‑Sticks, SD‑Karten aktivieren.
 
Least‑Privilege‑Prinzip – Nur Administratoren dürfen Boot‑Sektoren schreiben.
 
Monitoring – Audit‑Log für Schreibzugriffe auf /dev/sda (Linux) mittels auditd.
 

6. Aktuelle Trends

Trend
Beschreibung
UEFI‑Rootkits – Verstecken sich in der EFI‑System‑Partition, schwerer zu entdecken als klassische MBR‑Vir‑en.
 
File‑less Boot‑Malware – Lädt Payload aus legitimen Boot‑Dateien (z. B. Trusted Platform Modules).
 
Supply‑Chain‑Angriffe – Manipulierte Firmware‑Images vor dem Versand (z. B. Störfaktoren bei OEM‑Laptops).
 
Multi‑Stage‑Boot‑Infection – Kombination aus Boot‑Sector‑ und Kernel‑Modul‑Injektion.
 
Ransomware‑Boot‑Killer – Löschen oder Verschlüsseln des MBR/EFI, wodurch das System nicht mehr booten kann (Beispiel: WannaCry‑Boot‑Killer).
 

7. Beispiel‑Code eines einfachen MBR‑Boot‑Sector‑Viruses (Illustrativ)

assembly
 
 
 
; Minimaler Boot‑Sector‑Virus (x86, 16‑Bit)
; Überschreibt den ersten 440 Byte des MBR, lädt dann den Original‑Boot‑Code
 
ORG 0x7C00 ; BIOS lädt hierhin
BITS 16
 
start:
; Save original boot code (first 440 bytes)
mov si, 0x7C00
mov di, virus_buf
mov cx, 440/2
rep movsw
 
; Unsere Schadlogik (z. B. Tastatur‑Keylogger)
; ...
 
; Originalen Boot‑Code ausführen
mov si, virus_buf
mov di, 0x7C00
mov cx, 440/2
rep movsw
 
; Jump to original bootcode (offset 0x7C00 + 440)
jmp 0x7C00:0x7C00+440
 
virus_buf: times 440 db 0 ; Puffer für Original‑Boot‑Code
times 510-($-$$) db 0 ; Padding bis 510 Byte
dw 0xAA55 ; Boot‑Signature
 

Hinweis: Dieses Beispiel ist rein zu Demonstrationszwecken und nicht zur Ausführung gedacht.

8. Zusammenfassung

  • Boot‑Vir​en infiltrieren den kritischen Start‑Pfad (MBR, VBR, GPT, UEFI) und erhalten damit tiefen Systemzugriff.
  • Sie nutzen Persistenz, Stealth und oft eine Multi‑Stage‑Payload (Key‑logger → Ransomware).
  • Erkennung erfolgt via Hash‑Checks, Forensik‑Tools, Firmware‑Variable‑Analyse; Entfernung erfordert MBR‑Re‑Write, UEFI‑Re‑Flash oder komplettes Neuformatieren.
  • Prävention: Secure Boot, BIOS‑Passwort, Schreibschutz, aktuelle Firmware, AV‑Boot‑Scans.
  • Moderne Varianten (UEFI‑Rootkits, Supply‑Chain‑Infektion) verlangen erweiterte Defensiv‑ und Forensik‑Strategien.

Kontakt

Adresse
Robert‑Bosch‑Straße 8, 86551 Aichach

Telefon
📞 +49 (0)8251 8628574

E‑Mail
✉️ service@phnetz.de