Parity Boot

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Parity Boot ist ein Bootsektor-Virus, der Ende der 1980er und Anfang der 1990er Jahre weite Verbreitung fand. Noch 1996 war er in Deutschland mit bis zu 36 % lange Zeit der am weitesten verbreitete Virus, obwohl er zu dieser Zeit schon seit Jahren von nahezu jedem Anti-Virenprogramm erkannt werden konnte.

Die Hersteller von Virenschutz-Software haben teilweise unterschiedliche Bezeichnungen für das Schadprogramm, wie beispielsweise Quandary, Generic, IHC, Newboot oder WeRSilly.

Verhalten[Bearbeiten | Quelltext bearbeiten]

Der Virus wird beim Start von einer Festplatte oder einer Boot-Diskette aktiv. Er befindet sich dann im RAM und versucht eine Stunde lang, auf jede eingelesene Diskette zuzugreifen, um deren Bootsektor zu infizieren. Bei Festplatten wird nach gleichem Prinzip der Partitionssektor infiziert. Es sichert den originalen Bootsektor im hinteren Bereich des Hauptverzeichnisses, wobei dort befindliche Daten überschrieben werden. Eine schreibgeschützte Diskette kann nicht infiziert werden. Findet innerhalb dieser Stunde keine Ausbreitung statt, wartet das Programm auf die nächste Tastatureingabe. Durch diese wird dann der eigentliche Schadcode ausgelöst. Der Rechner stoppt, und der Bildschirm wird schwarz. Links oben steht in weißer Farbe der Text Parity Check. Der PC hat sich aufgehängt, zumindest nimmt er keine Eingaben mehr an. Auch die Tastenkombination Strg+Alt+Entf für einen Warmstart wird vom Virus abgefangen. Es bleibt nur, den Rechner mittels Netzschalter oder Reset-Taste neu zu starten. Da auch keine Möglichkeit mehr besteht, offene Programme oder Dateien abzuspeichern, kann Parity Boot auch ärgerliche Datenverluste verursachen. Solange der Virus nicht entfernt wird, ist der Besitzer des PC zu einem sehr lästigen, stündlichen Neustart gezwungen.

Bei einem Warmstart bleibt der Virus im Speicher resident. Gibt man ein solches Kommando, löst dies bei Parity Boot einen zusätzlichen Effekt aus. Der Virus versucht bei dieser Gelegenheit eine Diskette oder Festplatte neu zu infizieren. Eher ungewöhnlich für einen Bootsektor-Virus ist, dass nicht nur die Systemplatte, sondern auch alle weiteren Festplatten des Rechners infiziert werden.

Details[Bearbeiten | Quelltext bearbeiten]

In späteren Jahren erlangte der Virus noch einmal Aufmerksamkeit. Das IBM-Programms „VoiceType Vokabular“ wurde in nicht näher bekannter Stückzahl auf infizierten Datenträgern verkauft.[1] Der Konzern belieferte damit im Jahr 1996 mehrere Händler in Deutschland.

Die Meldung Parity Check soll den Computerbesitzer vermutlich auf eine falsche Fährte lenken. Der vermeintliche Zusammenhang mit einer Paritätsprüfung lässt einen Speicherfehler oder ähnliches vermuten. Der Computerbesitzer wird das Problem somit in diesem Bereich suchen, anstatt den Virus als solchen zu erkennen. Dadurch dauert die Entdeckung des Virus länger und er kann sich somit effektiver verbreiten.

Entfernung[Bearbeiten | Quelltext bearbeiten]

Da Disketten als Datenträger mittlerweile an Bedeutung verloren haben, ist Parity Boot, wie auch alle anderen Bootsektor-Viren, für die meisten heutigen Anwender ohne Relevanz. Moderne Systeme können durch diesen Virus wegen verschiedenen, integrierten Maßnahmen nicht mehr infiziert werden.

Durch neues Beschreiben bzw. Überschreiben des Bootsektors konnte man den Virus auch ohne Anti-Virenprogramm vom Datenträger entfernen, nicht aber ohne weiteres aus dem RAM. Praktischen Nutzen hatte das aber nur, wenn man eine nicht-infizierte Boot-Diskette zum Starten verwendete. Wenn Parity Boot bereits ins RAM geladen war, erfolgte in kürzester Zeit eine Neuinfektion. Das ist typisch für fast jeden speicherresistenten Boot-Sektor-Virus. Für die einfachste und sicherste Bereinigung eines infizierten Rechners kann quasi jedes Anti-Virenprogramm ab dem Jahr 1993 verwendet werden. Parity Boot wird dann nicht nur aus dem Bootsektor, sondern auch aus dem Systemspeicher entfernt.

Varianten[Bearbeiten | Quelltext bearbeiten]

Parity Boot tritt in fünf Varianten auf, wobei die Varianten „Parity Boot A“ und „Parity Boot B“ im Verhalten identisch sind. Die weiteren Derivate unterscheiden sich vor allem durch variierende Infektions- bzw. Auslösezeiten. Diese können bei einigen Parity-Boot-Varianten unregelmäßig sein, oder auch mit jeder Ausbreitung um eine Stunde länger werden, indem ein Counter im Schadprogramm die Infektionen mitzählt.

  • Parity Boot A
  • Parity Boot B
  • Parity Boot C
  • Parity Boot D
  • Parity Boot E

Quellen[Bearbeiten | Quelltext bearbeiten]

  1. http://www.f-secure.com/v-descs/quandary.shtml