Que é un virus da cavidade?

Un virus de cavidade é un tipo de virus relativamente pouco común que se copia en espazos non utilizados dos ficheiros, propagándose así sen afectar o tamaño do ficheiro do que estea infectando. Ás veces tamén se lles chama virus de "recheo de espazo". Moitos ficheiros teñen espazos baleiros que normalmente se ignoran cando se trata de executar o ficheiro do que forman parte. A presenza destes espazos non é un problema, a non ser que estean infectados por un virus, por suposto.

Dado que non se fai ningún cambio no tamaño do ficheiro, é imposible saber se un ficheiro foi alterado só comprobando as súas propiedades; en cambio, terías que comparalo cunha versión anterior non infectada para estar seguro. Os recheos de espazo existen desde 1998 e son razoablemente difíciles de detectar. Houbo varias ondas de virus moi exitosas ao redor dos días de Windows 95/98.

Como funciona?

Para infectar ficheiros, un recheo de espazo primeiro ten que atopar un ficheiro que teña espazo baleiro. Polo tanto, ten que buscar espazos baleiros. Cando atopa espazo baleiro nun ficheiro nalgún lugar, copiarase, enchendo o espazo sen facer o ficheiro máis grande. Isto dificulta a súa detección polos programas antivirus.

Mentres o virus siga atopando espazos o suficientemente grandes como para copiarse, seguirá facéndoo; se non atopa ningunha parte ou xa está infectado con todas as opcións posibles, pode permanecer inactivo ata que se active ou simplemente continuar a exploración ata que apareza un novo ficheiro. adecuado para iso aparece. Como tal, consumirá potencia de procesamento en segundo plano, o que pode ralentizar outras cousas.

Esta técnica baséase en técnicas antivirus primitivas que buscan case exclusivamente sinaturas de virus coñecidos. Ao infectar un ficheiro existente, a sinatura infectada resultante é única para a combinación de ficheiro e virus.

Un exemplo real

En 1998 un virus chamado CIH, demostrou esta funcionalidade. Foi alcumado Chernobyl porque a súa carga útil estaba, por certo, configurada para desencadearse na data do desastre de Chernobyl máis dunha década antes. O virus dirixiuse especificamente ás lagoas dos ficheiros Portable Execution ou PE. Dividiu o seu código para encaixar perfectamente neses ocos e inseriu unha táboa na parte superior do ficheiro para rastrexar as localizacións do seu código para que puidese funcionar correctamente.

CIH entón, na data de activación, sobrescribiría o primeiro megabyte de almacenamento con ceros. Isto xeralmente destruíu a táboa de particións ou o rexistro de arranque mestre. Perder isto fai que pareza que se borrara toda a unidade. Os datos, con todo, eran recuperables. O virus tamén tentaría borrar o chip da BIOS. Isto só tivo éxito nalgúns dispositivos e non noutros. Nos dispositivos cun chip da BIOS borrado, o chip necesitou reprogramalo ou substituílo. A outra alternativa era conseguir un novo ordenador.

Estímase que o virus CIH causou 1.000 millóns de dólares en danos e infectou 60 millóns de ordenadores en todo o mundo. O virus foi escrito por Chén Yíngháo, estudante da Universidade de Tatung en Taiwán. Chén afirmou que o virus foi escrito como un desafío contra as afirmacións de eficiencia excesivamente audaces feitas polos desenvolvedores de antivirus. Despois foi lanzado polos compañeiros, aínda que non está claro se foi deliberado ou accidental. Chén pediu desculpas á universidade e publicou un antivirus para CIH. Nunca se presentou ningún cargo porque naquel momento, Taiwán carecía de lexislación sobre crimes informáticos e ningunha vítima presentou unha demanda.

Prevención

A prevención de virus de cavidade ou de recheo espacial faise mellor minimizando o risco de exposición. Un bo paso é asegurarte de que todos os programas e ficheiros que descargas ou instalas sexan dunha fonte oficial e fiable. Históricamente, os programas antivirus adoitaban ter dificultades para detectar virus da cavidade. Non obstante, as técnicas antivirus modernas son moito máis avanzadas. Aínda é importante manter o teu antivirus actualizado e actualizado coas sinaturas de virus máis recentes para facilitar a detección e eliminación de virus coñecidos.

Este tipo de virus xa non se ve realmente. As técnicas antivirus avanzaron considerablemente facendo que sexa moito máis fácil detectar este tipo de cousas. Ademais, os creadores de virus tamén adoptaron métodos aínda máis creativos para evitar o software antivirus.

Conclusión

Un virus de cavidade, tamén coñecido como virus de recheo de espazos, é un tipo de malware que se esconde en ocos doutros ficheiros. Esta técnica fai que sexa moi difícil de detectar coas comprobacións básicas de sinatura de ficheiros. Tamén evita axustar o tamaño do ficheiro infectado, facendo aínda máis difícil de detectar. O exemplo máis coñecido, CIH, utilizou esta técnica con gran efecto. Dividiu o seu código en tantas lagoas como precisase e inseriu unha táboa na parte superior do ficheiro para rastrexar a localización do seu código. As técnicas antivirus modernas son capaces de identificar este tipo de virus, polo que non se usa habitualmente.