Co je Cavity Virus?

Dutinový virus je relativně neobvyklý typ viru, který se kopíruje do nevyužitých míst v souborech, čímž se šíří bez ovlivnění velikosti souboru čehokoli, co infikuje. Někdy se jim také říká „space filler“ viry. Mnoho souborů má prázdná místa, která jsou normálně ignorována, když dojde ke spuštění souboru, jehož jsou součástí. Přítomnost těchto prostorů není problém – samozřejmě pokud nejsou infikovány virem.

Protože se velikost souboru nemění, není možné zjistit, zda byl soubor změněn pouze kontrolou jeho vlastností – místo toho byste jej museli pro jistotu porovnat s předchozí, neinfikovanou verzí. Prostorové výplně existují od roku 1998 a je poměrně obtížné je najít. Kolem dnů Windows 95/98 proběhlo několik velmi úspěšných virových vln.

Jak to funguje?

Aby bylo možné infikovat soubory, musí vyplňovač místa nejprve najít soubor, který má v sobě prázdné místo. Musí tedy hledat prázdná místa. Když někde v souboru najde prázdné místo, zkopíruje se a zaplní prostor, aniž by soubor zvětšil. To ztěžuje detekci antivirovými programy.

Dokud bude virus nacházet dostatečně velká místa na to, aby se do nich zkopíroval, bude v tom pokračovat – pokud nikde nenalezne nebo je již infikován všemi možnými možnostmi, může zůstat nečinný, dokud se nespustí, nebo jednoduše pokračovat ve skenování, dokud se neobjeví nový soubor. pro to se zdá vhodné. Jako takový bude spotřebovávat výpočetní výkon na pozadí, což může zpomalit jiné věci.

Tato technika se opírá o primitivní antivirové techniky, které téměř výhradně hledají signatury známých virů. Infikováním existujícího souboru je výsledný infikovaný podpis jedinečný pro kombinaci souboru a viru.

Skutečný příklad

V roce 1998 tuto funkci prokázal virus zvaný CIH. Přezdívalo se mu Černobyl, protože jeho užitečné zatížení bylo mimochodem nastaveno tak, aby se spustilo v den černobylské katastrofy o více než deset let dříve. Virus se konkrétně zaměřil na mezery v souborech Portable Execution nebo PE. Rozdělil svůj kód, aby se úhledně vešel do těchto mezer, a vložil tabulku do horní části souboru, aby sledoval umístění svého kódu, aby mohl správně fungovat.

CIH by pak k datu spuštění přepsala první megabajt úložiště nulami. To obecně zničilo tabulku oddílů nebo hlavní spouštěcí záznam. Ztráta způsobí, že to vypadá, jako by byl vymazán celý disk. Data však byla obnovitelná. Virus by se také pokusil vymazat čip BIOSu. To se podařilo pouze na některých zařízeních a nikoli. Na zařízeních s vymazaným čipem BIOS bylo nutné čip přeprogramovat nebo vyměnit. Další možností bylo pořídit si nový počítač.

Odhaduje se, že virus CIH způsobil škody ve výši 1 miliardy USD a infikoval 60 milionů počítačů po celém světě. Virus napsal Chén Yingháo, student Tatungské univerzity na Tchaj-wanu. Chén tvrdil, že virus byl napsán jako výzva proti příliš odvážným tvrzením o účinnosti ze strany vývojářů antivirů. Poté jej vydali spolužáci, i když není jasné, zda to bylo úmyslné nebo náhodné. Chén se univerzitě omluvil a zveřejnil antivirus pro CIH. Nikdy nebyla vznesena žádná obvinění, protože v té době na Tchaj-wanu chyběly právní předpisy týkající se počítačové kriminality a žádné oběti se neobrátily s žalobou.

Prevence

Prevence dutin nebo spacefiller virů se nejlépe provádí minimalizací rizika expozice. Jedním dobrým krokem je ujistit se, že všechny programy a soubory, které stahujete nebo instalujete, pocházejí z oficiálního důvěryhodného zdroje. Antivirové programy historicky mívaly potíže s odhalováním dutinových virů. Moderní antivirové techniky jsou však mnohem pokročilejší. Stále je důležité udržovat váš antivirus aktuální a aktualizovaný o nejnovější virové signatury, aby bylo snazší detekovat a odstraňovat známé viry.

Tento typ viru už opravdu není vidět. Antivirové techniky značně pokročily, takže je mnohem snazší odhalit tento druh věcí. Kromě toho tvůrci virů také přijali ještě kreativnější metody, jak se vyhnout antivirovému softwaru.

Závěr

Dutinový virus, také známý jako virus vyplňující prostor, je typ malwaru, který se skrývá v mezerách v jiných souborech. Tato technika velmi ztěžuje detekci pomocí základních kontrol podpisů souborů. Zabraňuje také úpravě velikosti infikovaného souboru, což ztěžuje jeho detekci. Nejznámější příklad, CIH, použil tuto techniku ​​s velkým efektem. Rozdělil svůj kód na tolik mezer, kolik potřeboval, a vložil tabulku na začátek souboru, aby sledoval umístění svého kódu. Moderní antivirové techniky jsou schopny tento druh virů identifikovat, takže se běžně nepoužívají.