Çfarë është një virus i zgavrës?

Një virus i zgavrës është një lloj virusi relativisht i pazakontë që kopjon veten në hapësira të papërdorura në skedarë, duke u përhapur kështu pa ndikuar në madhësinë e skedarit të çdo gjëje që infekton. Ata nganjëherë quhen edhe viruse "mbushëse hapësinore". Shumë skedarë kanë hapësira boshe që zakonisht injorohen kur bëhet fjalë për ekzekutimin e skedarit ku bëjnë pjesë. Prania e këtyre hapësirave nuk është problem – sigurisht nëse ato nuk janë të infektuara nga një virus.

Meqenëse nuk është bërë asnjë ndryshim në madhësinë e skedarit, është e pamundur të dihet nëse një skedar është ndryshuar thjesht duke kontrolluar vetitë e tij – në vend të kësaj, do t'ju duhet ta krahasoni atë me një version të mëparshëm, të painfektuar për t'u siguruar. Mbushësit e hapësirës kanë ekzistuar që nga viti 1998 dhe janë mjaft të vështira për t'u dalluar. Kishte disa valë virusesh shumë të suksesshme rreth ditëve të Windows 95/98.

Si punon?

Për të infektuar skedarët, një mbushës i hapësirës së pari duhet të gjejë një skedar që ka hapësirë ​​boshe në të. Pra, duhet të skanojë për hapësira boshe. Kur gjen hapësirë ​​boshe në një skedar diku, ai do të kopjojë veten, duke mbushur hapësirën pa e bërë skedarin më të madh. Kjo e bën të vështirë zbulimin nga programet antivirus.

Për sa kohë që virusi vazhdon të gjejë hapësira mjaftueshëm të mëdha për t'u kopjuar, ai do të vazhdojë ta bëjë këtë - nëse nuk gjen askund ose është tashmë i infektuar të gjitha opsionet e mundshme, atëherë ai mund të qëndrojë i papunë derisa të aktivizohet ose thjesht të vazhdojë skanimin e tij deri në një skedar të ri i përshtatshëm për të duket. Si i tillë, ai do të konsumojë fuqi përpunuese në sfond, gjë që mund të ngadalësojë gjëra të tjera.

Kjo teknikë mbështetet në teknikat primitive antivirus që pothuajse ekskluzivisht kërkojnë nënshkrime të viruseve të njohur. Duke infektuar një skedar ekzistues, nënshkrimi i infektuar që rezulton është unik për kombinimin e skedarit dhe virusit.

Një shembull i vërtetë

Në vitin 1998 një virus i quajtur CIH, demonstroi këtë funksionalitet. Ai u quajt Çernobil sepse ngarkesa e tij ishte vendosur rastësisht të shkaktonte në datën e fatkeqësisë së Çernobilit më shumë se një dekadë më parë. Virusi synonte në mënyrë specifike boshllëqet në skedarët Portable Execution ose PE. Ai ndau kodin e tij që të përshtatej mirë në ato boshllëqe dhe futi një tabelë në krye të skedarit për të gjurmuar vendndodhjet e kodit të tij në mënyrë që të mund të funksiononte siç duhet.

Më pas, CIH, në datën e aktivizimit, do të mbishkruante megabajtin e parë të ruajtjes me zero. Kjo në përgjithësi shkatërroi tabelën e ndarjes ose regjistrimin kryesor të nisjes. Humbja e kësaj e bën të duket sikur i gjithë disku është fshirë. Megjithatë, të dhënat ishin të rikuperueshme. Virusi do të përpiqet gjithashtu të fshijë çipin BIOS. Kjo ishte e suksesshme vetëm në disa pajisje dhe jo në të tjera. Në pajisjet me një çip BIOS të fshirë, çipi kishte nevojë për riprogramim ose zëvendësim. Alternativa tjetër ishte marrja e një kompjuteri të ri.

Gjithçka u tha se virusi CIH vlerësohej të kishte shkaktuar 1 miliard dollarë dëme dhe të kishte infektuar 60 milionë kompjuterë në mbarë botën. Virusi u shkrua nga Chén Yíngháo, një student në Universitetin Tatung në Tajvan. Chén pohoi se virusi ishte shkruar si një sfidë kundër pretendimeve tepër të guximshme të efikasitetit të bëra nga zhvilluesit e antiviruseve. Më pas u lëshua nga shokët e klasës, megjithëse është e paqartë nëse kjo ishte e qëllimshme apo aksidentale. Chen i kërkoi falje universitetit dhe publikoi një antivirus për CIH. Asnjë akuzë nuk u ngrit kurrë sepse në atë kohë, Tajvanit i mungonte legjislacioni për krimin kompjuterik dhe asnjë viktimë nuk paraqiti një padi.

Parandalimi

Parandalimi i viruseve të zgavrës ose mbushjes së hapësirës bëhet më së miri duke minimizuar rrezikun tuaj të ekspozimit. Një hap i mirë është të siguroheni që të gjitha programet dhe skedarët që shkarkoni ose instaloni janë nga një burim zyrtar dhe i besueshëm. Programet antivirus historikisht kishin tendencë të kishin vështirësi në zbulimin e viruseve të kaviteteve. Megjithatë, teknikat moderne antivirus janë shumë më të avancuara. Është ende e rëndësishme ta mbani antivirusin tuaj të përditësuar dhe të përditësuar me nënshkrimet më të fundit të virusit për ta bërë më të lehtë zbulimin dhe heqjen e viruseve të njohura.

Ky lloj virusi realisht nuk shihet më. Teknikat antivirus janë avancuar në mënyrë të konsiderueshme duke e bërë shumë më të lehtë zbulimin e këtij lloji. Për më tepër, krijuesit e viruseve kanë adoptuar gjithashtu metoda edhe më kreative për të shmangur programet antivirus.

konkluzioni

Një virus i zgavrës, i njohur gjithashtu si një virus mbushës i hapësirës, ​​është një lloj malware që fshihet në boshllëqe në skedarë të tjerë. Kjo teknikë e bën vërtet të vështirë zbulimin me kontrollet bazë të nënshkrimit të skedarit. Ai gjithashtu shmang rregullimin e madhësisë së skedarit të infektuar, duke e bërë edhe më të vështirë zbulimin. Shembulli më i njohur, CIH, e përdori këtë teknikë me efekt të madh. Ai ndau kodin e tij në aq boshllëqe sa duhej dhe futi një tabelë në krye të skedarit për të gjurmuar vendndodhjen e kodit të tij. Teknikat moderne antivirus janë të afta të identifikojnë këtë lloj virusi, kështu që nuk përdoret zakonisht.