Hvað er holavírus?

Holavírus er tiltölulega sjaldgæf tegund vírusa sem afritar sig inn í ónotuð rými í skrám og dreifist þannig án þess að hafa áhrif á skráarstærð þess sem hún er að smita. Þeir eru stundum einnig kallaðir „rýmisfyllingar“ vírusar. Margar skrár hafa tómt rými sem venjulega er hunsað þegar kemur að því að keyra skrána sem þær eru hluti af. Tilvist þessara rýma er ekki vandamál - nema þau séu sýkt af vírus, auðvitað.

Þar sem engin breyting er gerð á skráarstærðinni er ómögulegt að vita hvort skrá hafi verið breytt eingöngu með því að athuga eiginleika hennar - í staðinn yrðir þú að bera hana saman við fyrri, ósýkta útgáfu til að vera viss. Rýmifyllingarefni hafa verið til síðan 1998 og er frekar erfitt að koma auga á þær. Það voru nokkrar mjög vel heppnaðar vírusbylgjur í kringum Windows 95/98 daga.

Hvernig virkar það?

Til þess að sýkja skrár þarf plássfyllir fyrst að finna skrá sem hefur tómt pláss í henni. Svo það þarf að leita að tómum rýmum. Þegar það finnur tómt pláss í skrá einhvers staðar mun það afrita sjálft sig inn og fylla plássið án þess að gera skrána stærri. Það gerir það erfitt að greina með vírusvarnarforritum.

Svo lengi sem vírusinn heldur áfram að finna nógu stór rými til að afrita sig inn í, mun hann halda áfram að gera það - ef hann finnur hvergi eða hann er þegar sýktur af öllum mögulegum valkostum, þá gæti hann setið aðgerðalaus þar til hann er ræstur eða einfaldlega haldið áfram að skanna þar til ný skrá hentugur fyrir það virðist. Sem slíkur mun það neyta vinnsluorku í bakgrunni sem getur hægt á öðrum hlutum.

Þessi tækni byggir á frumstæðri vírusvarnartækni sem nær eingöngu leitar að undirskriftum þekktra vírusa. Með því að smita núverandi skrá er sýkta undirskriftin sem myndast einstök fyrir samsetningu skráar og vírusa.

Raunverulegt dæmi

Árið 1998 sýndi vírus sem kallast CIH þessa virkni. Það fékk viðurnefnið Chernobyl vegna þess að hleðsla þess átti fyrir tilviljun að koma af stað á þeim degi sem Chernobyl hörmungarnar urðu meira en áratug fyrr. Veiran miðaði sérstaklega á eyður í Portable Execution eða PE skrám. Það skipti kóðanum sínum til að passa snyrtilega í þessar eyður og setti inn töflu efst á skránni til að fylgjast með staðsetningu kóðans svo hann gæti keyrt rétt.

CIH myndi síðan, á kveikjudegi, skrifa yfir fyrsta megabæti af geymsluplássi með núllum. Þetta eyðilagði almennt skiptingartöfluna eða master boot record. Að tapa sem gerir það að verkum að það virðist sem allt drifið hafi verið þurrkað. Gögnin voru hins vegar endurheimtanleg. Veiran myndi einnig reyna að þurrka BIOS flöguna. Þetta tókst aðeins í sumum tækjum en ekki öðrum. Í tækjum með þurrkaðan BIOS flís þurfti annaðhvort flísinn að endurforrita eða skipta út. Hinn kosturinn var að fá nýja tölvu.

Talið er að CIH vírusinn hafi valdið 1 milljarði Bandaríkjadala í skaða og að 60 milljónir tölva hafi smitast um allan heim. Veiran var skrifuð af Chén Yíngháo, nemanda við Tatung háskólann í Taívan. Chén hélt því fram að vírusinn væri skrifuð sem áskorun gegn of djörfum fullyrðingum um skilvirkni sem vírusvarnarframleiðendur settu fram. Það var síðan gefið út af bekkjarfélögum, þó að það sé óljóst hvort þetta hafi verið vísvitandi eða óvart. Chén bað háskólann afsökunar og birti vírusvarnarefni fyrir CIH. Aldrei var ákært vegna þess að á þeim tíma skorti löggjöf um tölvuglæpi í Taívan og engin fórnarlömb komu fram með málsókn.

Forvarnir

Best er að koma í veg fyrir hola- eða geimfyllingarvírusa með því að lágmarka áhættuna þína. Eitt gott skref er að ganga úr skugga um að öll forrit og skrár sem þú halar niður eða setur upp séu frá opinberum, áreiðanlegum uppruna. Vírusvarnarforrit hafa sögulega átt í erfiðleikum með að greina holavírusa. Nútíma vírusvarnartækni er þó miklu fullkomnari. Það er samt mikilvægt að hafa vírusvörnina uppfærða og uppfærða með nýjustu vírusundirskriftum til að auðvelda þér að greina og fjarlægja þekkta vírusa.

Þessi tegund af vírus sést í raun ekki lengur. Vírusvarnartækni hefur fleygt töluvert fram sem gerir það miklu auðveldara að greina þessa tegund. Að auki hafa vírushöfundar einnig tekið upp enn skapandi aðferðir til að forðast vírusvarnarhugbúnað.

Niðurstaða

Holavírus, einnig þekktur sem geimfyllingarvírus, er tegund spilliforrita sem felur sig í eyðum í öðrum skrám. Þessi tækni gerir það mjög erfitt að greina með undirskriftarathugunum á skrám. Það forðast einnig að stilla stærð sýktu skráarinnar, sem gerir það enn erfiðara að greina hana. Þekktasta dæmið, CIH, notaði þessa tækni með miklum árangri. Það skipti kóðanum sínum yfir eins mörg eyður og það þurfti og setti inn töflu efst á skránni til að fylgjast með staðsetningu kóðans. Nútíma vírusvarnartækni er fær um að bera kennsl á þessa tegund vírusa, svo það er ekki almennt notað.