Què és un virus de la cavitat?

Un virus de cavitat és un tipus de virus relativament poc comú que es copia en espais no utilitzats dels fitxers, propagant-se així sense afectar la mida del fitxer del que estigui infectant. De vegades també s'anomenen virus "d'ompliment d'espai". Molts fitxers tenen espais buits que normalment s'ignoren quan es tracta d'executar el fitxer del qual formen part. La presència d'aquests espais no és un problema, tret que estiguin infectats per un virus, és clar.

Com que no es fa cap canvi a la mida del fitxer, és impossible saber si un fitxer s'ha alterat només comprovant les seves propietats; en canvi, hauríeu de comparar-lo amb una versió anterior i no infectada per estar segur. Els farcits d'espai existeixen des de 1998 i són raonablement difícils de detectar. Hi va haver diverses onades de virus molt reeixides al voltant dels dies de Windows 95/98.

Com funciona?

Per infectar fitxers, primer ha de trobar un fitxer que tingui espai buit. Per tant, ha de buscar espais buits. Quan trobi espai buit en un fitxer en algun lloc, es copiarà, omplint l'espai sense fer que el fitxer sigui més gran. Això fa que sigui difícil de detectar mitjançant programes antivirus.

Mentre el virus segueixi trobant espais prou grans per copiar-s'hi, continuarà fent-ho; si no troba enlloc o ja està infectat amb totes les opcions possibles, pot romandre inactiu fins que s'activa o simplement continuar l'exploració fins a un nou fitxer. adequat perquè aparegui. Com a tal, consumirà potència de processament en segon pla que pot alentir altres coses.

Aquesta tècnica es basa en tècniques antivirus primitives que gairebé exclusivament busquen signatures de virus coneguts. En infectar un fitxer existent, la signatura infectada resultant és exclusiva de la combinació de fitxer i virus.

Un exemple real

L'any 1998 un virus anomenat CIH, va demostrar aquesta funcionalitat. Va rebre el sobrenom de Txernòbil perquè la seva càrrega útil s'havia de desencadenar, per cert, la data del desastre de Txernòbil més d'una dècada abans. El virus va dirigir específicament els buits dels fitxers Portable Execution o PE. Va dividir el seu codi per adaptar-se perfectament a aquests buits i va inserir una taula a la part superior del fitxer per fer un seguiment de les ubicacions del seu codi perquè pogués funcionar correctament.

Aleshores, CIH, a la data d'activació, sobreescriuria el primer megabyte d'emmagatzematge amb zeros. Això generalment va destruir la taula de particions o el registre d'arrencada mestre. Perdre això fa que sembli com si s'hagués esborrat tota la unitat. Les dades, però, eren recuperables. El virus també intentaria esborrar el xip de la BIOS. Això només va tenir èxit en alguns dispositius i no en altres. En dispositius amb un xip de BIOS esborrat, el xip necessitava reprogramar-lo o substituir-lo. L'altra alternativa era aconseguir un ordinador nou.

Es calcula que el virus CIH va causar danys per mil milions de dòlars i va infectar 60 milions d'ordinadors a tot el món. El virus va ser escrit per Chén Yíngháo, estudiant de la Universitat Tatung de Taiwan. Chén va afirmar que el virus va ser escrit com un repte contra les afirmacions d'eficiència massa agosarats fetes pels desenvolupadors d'antivirus. Després va ser llançat pels companys de classe, tot i que no està clar si va ser deliberat o accidental. Chén va demanar disculpes a la universitat i va publicar un antivirus per a CIH. No es va presentar cap càrrec perquè en aquell moment, Taiwan no tenia legislació sobre delictes informàtics i cap víctime no va presentar una demanda.

Prevenció

La millora de prevenir els virus de la cavitat o l'emplenament d'espai es minimitza el risc d'exposició. Un bon pas és assegurar-vos que tots els programes i fitxers que baixeu o instal·leu provinguin d'una font oficial i fiable. Històricament, els programes antivirus van tenir dificultats per detectar virus de cavitat. Tanmateix, les tècniques antivirus modernes són molt més avançades. Encara és important mantenir el vostre antivirus actualitzat i actualitzat amb les últimes signatures de virus perquè sigui més fàcil detectar i eliminar virus coneguts.

Aquest tipus de virus ja no es veu realment. Les tècniques antivirus han avançat considerablement fent que sigui molt més fàcil detectar aquest tipus de coses. A més, els creadors de virus també han adoptat mètodes encara més creatius per evitar el programari antivirus.

Conclusió

Un virus de cavitat, també conegut com a virus d'ompliment d'espais, és un tipus de programari maliciós que s'amaga als buits d'altres fitxers. Aquesta tècnica fa que sigui molt difícil de detectar amb comprovacions bàsiques de signatura de fitxers. També evita ajustar la mida del fitxer infectat, fent-lo encara més difícil de detectar. L'exemple més conegut, CIH, va utilitzar aquesta tècnica amb gran efecte. Va dividir el seu codi en tants buits com necessitava i va inserir una taula a la part superior del fitxer per fer un seguiment de la ubicació del seu codi. Les tècniques antivirus modernes són capaços d'identificar aquest tipus de virus, de manera que no s'utilitza habitualment.