Τι είναι ο ιός της κοιλότητας;

Ένας ιός κοιλότητας είναι ένας σχετικά ασυνήθιστος τύπος ιού που αντιγράφει τον εαυτό του σε αχρησιμοποίητους χώρους σε αρχεία, εξαπλώνοντας έτσι χωρίς να επηρεάζει το μέγεθος του αρχείου ό,τι μολύνει. Μερικές φορές ονομάζονται επίσης ιοί «πληρωτικού χώρου». Πολλά αρχεία έχουν κενούς χώρους που συνήθως αγνοούνται όταν πρόκειται για την εκτέλεση του αρχείου στο οποίο ανήκουν. Η παρουσία αυτών των χώρων δεν αποτελεί πρόβλημα – εκτός και αν έχουν μολυνθεί από ιό, φυσικά.

Δεδομένου ότι δεν γίνεται καμία αλλαγή στο μέγεθος του αρχείου, είναι αδύνατο να γνωρίζουμε εάν ένα αρχείο έχει τροποποιηθεί απλώς ελέγχοντας τις ιδιότητές του – αντί για αυτό, θα πρέπει να το συγκρίνετε με μια προηγούμενη, μη μολυσμένη έκδοση για να είστε σίγουροι. Τα πληρωτικά διαστήματος υπάρχουν από το 1998 και είναι αρκετά δύσκολο να εντοπιστούν. Υπήρχαν πολλά πολύ επιτυχημένα κύματα ιών γύρω από τις ημέρες των Windows 95/98.

Πώς λειτουργεί;

Για να μολύνει αρχεία, ένα σύστημα πλήρωσης χώρου πρέπει πρώτα να βρει ένα αρχείο που έχει κενό χώρο σε αυτό. Επομένως, χρειάζεται σάρωση για κενά. Όταν βρει κενό χώρο σε ένα αρχείο κάπου, θα αντιγραφεί μόνος του, γεμίζοντας τον χώρο χωρίς να μεγαλώσει το αρχείο. Αυτό καθιστά δύσκολο τον εντοπισμό από προγράμματα προστασίας από ιούς.

Όσο ο ιός συνεχίζει να βρίσκει χώρους αρκετά μεγάλους για να αντιγραφεί, θα συνεχίσει να το κάνει – εάν δεν βρει πουθενά ή έχει ήδη μολυνθεί όλες οι πιθανές επιλογές, τότε μπορεί να παραμείνει σε αδράνεια μέχρι να ενεργοποιηθεί ή απλά να συνεχίσει τη σάρωση μέχρι ένα νέο αρχείο φαίνεται κατάλληλο για αυτό. Ως εκ τούτου, θα καταναλώσει επεξεργαστική ισχύ στο παρασκήνιο που μπορεί να επιβραδύνει άλλα πράγματα.

Αυτή η τεχνική βασίζεται σε πρωτόγονες τεχνικές προστασίας από ιούς που αναζητούν σχεδόν αποκλειστικά υπογραφές γνωστών ιών. Με τη μόλυνση ενός υπάρχοντος αρχείου, η προκύπτουσα μολυσμένη υπογραφή είναι μοναδική στον συνδυασμό αρχείου και ιού.

Ένα πραγματικό παράδειγμα

Το 1998 ένας ιός που ονομάζεται CIH, έδειξε αυτή τη λειτουργικότητα. Ονομάστηκε Τσερνομπίλ επειδή το ωφέλιμο φορτίο του ήταν τυχαία προγραμματισμένο να ενεργοποιηθεί την ημερομηνία της καταστροφής του Τσερνομπίλ περισσότερο από μια δεκαετία νωρίτερα. Ο ιός στόχευσε συγκεκριμένα κενά σε αρχεία Portable Execution ή PE. Χώρισε τον κώδικά του για να χωρέσει σωστά σε αυτά τα κενά και εισήγαγε έναν πίνακα στην κορυφή του αρχείου για να παρακολουθεί τις θέσεις του κώδικά του, ώστε να μπορεί να εκτελείται σωστά.

Στη συνέχεια, το CIH, την ημερομηνία ενεργοποίησης, θα αντικαθιστούσε το πρώτο megabyte αποθήκευσης με μηδενικά. Αυτό γενικά κατέστρεψε τον πίνακα διαμερισμάτων ή την κύρια εγγραφή εκκίνησης. Χάνοντας αυτό το κάνει να φαίνεται σαν να έχει σκουπιστεί ολόκληρη η μονάδα δίσκου. Τα δεδομένα, ωστόσο, ήταν ανακτήσιμα. Ο ιός θα επιχειρούσε επίσης να σκουπίσει το τσιπ του BIOS. Αυτό ήταν επιτυχές μόνο σε ορισμένες συσκευές και όχι σε άλλες. Σε συσκευές με σκουπισμένο τσιπ BIOS, είτε το τσιπ χρειαζόταν επαναπρογραμματισμό είτε αντικατάσταση. Η άλλη εναλλακτική ήταν να αποκτήσετε έναν νέο υπολογιστή.

Όλα είπαν ότι ο ιός CIH εκτιμάται ότι προκάλεσε ζημιές 1 δισεκατομμυρίου δολαρίων ΗΠΑ και ότι έχει μολύνει 60 εκατομμύρια υπολογιστές σε όλο τον κόσμο. Ο ιός γράφτηκε από τον Chén Yíngháo, φοιτητή στο Πανεπιστήμιο Tatung στην Ταϊβάν. Ο Chén ισχυρίστηκε ότι ο ιός γράφτηκε ως πρόκληση ενάντια στους υπερβολικά τολμηρούς ισχυρισμούς αποτελεσματικότητας που διατυπώθηκαν από προγραμματιστές προστασίας από ιούς. Στη συνέχεια κυκλοφόρησε από συμμαθητές, αν και δεν είναι σαφές εάν αυτό ήταν σκόπιμα ή τυχαίο. Ο Τσεν ζήτησε συγγνώμη από το πανεπιστήμιο και δημοσίευσε ένα antivirus για το CIH. Δεν απαγγέλθηκαν ποτέ κατηγορίες επειδή εκείνη την εποχή, η Ταϊβάν δεν διέθετε νομοθεσία για τα εγκλήματα ηλεκτρονικών υπολογιστών και κανένα θύμα δεν υπέβαλε μήνυση.

Πρόληψη

Η πρόληψη των ιών της κοιλότητας ή των ιών πλήρωσης χώρου γίνεται καλύτερα ελαχιστοποιώντας τον κίνδυνο έκθεσής σας. Ένα καλό βήμα είναι να βεβαιωθείτε ότι όλα τα προγράμματα και τα αρχεία που κατεβάζετε ή εγκαθιστάτε προέρχονται από επίσημη, αξιόπιστη πηγή. Τα προγράμματα προστασίας από ιούς έτειναν ιστορικά να έχουν δυσκολία στον εντοπισμό ιών κοιλότητας. Ωστόσο, οι σύγχρονες τεχνικές προστασίας από ιούς είναι πολύ πιο προηγμένες. Είναι ακόμα σημαντικό να διατηρείτε το antivirus σας ενημερωμένο και ενημερωμένο με τις πιο πρόσφατες υπογραφές ιών για να διευκολύνετε τον εντοπισμό και την αφαίρεση γνωστών ιών.

Αυτός ο τύπος ιού δεν φαίνεται πια πραγματικά. Οι τεχνικές προστασίας από ιούς έχουν προχωρήσει σημαντικά καθιστώντας πολύ πιο εύκολο τον εντοπισμό αυτού του είδους. Επιπλέον, οι δημιουργοί ιών έχουν επίσης υιοθετήσει ακόμη πιο δημιουργικές μεθόδους αποφυγής λογισμικού προστασίας από ιούς.

συμπέρασμα

Ένας ιός κοιλότητας, γνωστός και ως ιός πλήρωσης χώρου, είναι ένας τύπος κακόβουλου λογισμικού που κρύβεται σε κενά σε άλλα αρχεία. Αυτή η τεχνική καθιστά πραγματικά δύσκολο τον εντοπισμό με βασικούς ελέγχους υπογραφής αρχείων. Αποφεύγει επίσης την προσαρμογή του μεγέθους του μολυσμένου αρχείου, καθιστώντας ακόμη πιο δύσκολο τον εντοπισμό του. Το πιο γνωστό παράδειγμα, το CIH, χρησιμοποίησε αυτή την τεχνική με εξαιρετικό αποτέλεσμα. Χώρισε τον κώδικά του σε όσα κενά χρειαζόταν και εισήγαγε έναν πίνακα στην κορυφή του αρχείου για να παρακολουθεί τη θέση του κώδικά του. Οι σύγχρονες τεχνικές προστασίας από ιούς είναι ικανές να αναγνωρίσουν αυτό το είδος ιού, επομένως δεν χρησιμοποιείται συνήθως.