Hva er et hulromsvirus?

Et hulromsvirus er en relativt uvanlig type virus som kopierer seg selv inn i ubrukte områder i filer, og sprer seg dermed uten å påvirke filstørrelsen på det det infiserer. Noen ganger kalles de også "space filler"-virus. Mange filer har tomme områder som normalt ignoreres når det gjelder å kjøre filen de er en del av. Tilstedeværelsen av disse områdene er ikke et problem - med mindre de er infisert av et virus, selvfølgelig.

Siden det ikke gjøres noen endring i filstørrelsen, er det umulig å vite om en fil har blitt endret kun ved å sjekke egenskapene – i stedet må du sammenligne den med en tidligere, uinfisert versjon for å være sikker. Space fillers har eksistert siden 1998 og er rimelig vanskelig å få øye på. Det var flere svært vellykkede virusbølger rundt Windows 95/98-dagene.

Hvordan virker det?

For å infisere filer, må en space filler først finne en fil som har tom plass. Så den må skanne etter tomme områder. Når den finner tom plass i en fil et sted, vil den kopiere seg selv inn og fylle plassen uten å gjøre filen større. Det gjør det vanskelig å oppdage av antivirusprogrammer.

Så lenge viruset fortsetter å finne områder som er store nok til å kopiere seg selv inn i, vil det fortsette å gjøre det – hvis det ikke finner noe sted eller det allerede er infisert alle mulige alternativer, kan det sitte inaktivt til det utløses eller bare fortsette skanningen til en ny fil egnet for det vises. Som sådan vil den forbruke prosessorkraft i bakgrunnen som kan bremse andre ting.

Denne teknikken er avhengig av primitive antivirusteknikker som nesten utelukkende ser etter signaturer til kjente virus. Ved å infisere en eksisterende fil, er den resulterende infiserte signaturen unik for kombinasjonen av fil og virus.

Et ekte eksempel

I 1998 demonstrerte et virus kalt CIH denne funksjonaliteten. Den fikk kallenavnet Tsjernobyl fordi nyttelasten tilfeldigvis skulle utløses på datoen for Tsjernobyl-katastrofen mer enn et tiår tidligere. Viruset målrettet spesifikt hull i Portable Execution eller PE-filer. Den delte koden sin for å passe pent i disse hullene og satte inn en tabell øverst i filen for å spore plasseringene til koden slik at den kunne kjøre ordentlig.

CIH ville da, på utløsningsdatoen, overskrive den første megabyten med lagring med nuller. Dette ødela vanligvis partisjonstabellen eller hovedoppstartsposten. Å miste som gjør at det ser ut som om hele stasjonen er tørket. Dataene kunne imidlertid gjenopprettes. Viruset ville også forsøke å tørke BIOS-brikken. Dette var bare vellykket på noen enheter og ikke andre. På enheter med en utslettet BIOS-brikke måtte enten brikken omprogrammeres eller erstattes. Det andre alternativet var å få en ny datamaskin.

Alt fortalte at CIH-viruset ble anslått å ha forårsaket 1 milliard dollar i skader og å ha infisert 60 millioner datamaskiner rundt om i verden. Viruset ble skrevet av Chén Yíngháo, en student ved Tatung University i Taiwan. Chén hevdet at viruset ble skrevet som en utfordring mot de altfor dristige effektivitetspåstandene fra antivirusutviklere. Den ble deretter utgitt av klassekamerater, selv om det er uklart om dette var bevisst eller tilfeldig. Chén ba universitetet om unnskyldning og publiserte et antivirus for CIH. Ingen siktelser ble noen gang tatt ut fordi Taiwan manglet lovgivning om datakriminalitet på det tidspunktet, og ingen ofre kom frem med et søksmål.

Forebygging

Forebygging av hulroms- eller spacefiller-virus gjøres best ved å minimere eksponeringsrisikoen. Et godt skritt er å sørge for at alle programmer og filer du laster ned eller installerer er fra en offisiell, pålitelig kilde. Antivirusprogrammer hadde historisk en tendens til å ha problemer med å oppdage hulromsvirus. Moderne antivirusteknikker er imidlertid mye mer avanserte. Det er fortsatt viktig å holde antivirusprogrammet oppdatert og oppdatert med de nyeste virussignaturene for å gjøre det enklere å oppdage og fjerne kjente virus.

Denne typen virus er egentlig ikke sett lenger. Antivirusteknikker har avansert betydelig, noe som gjør det mye lettere å oppdage denne typen ting. I tillegg har virusskapere også tatt i bruk enda mer kreative metoder for å unngå antivirusprogramvare.

Konklusjon

Et hulromsvirus, også kjent som et space filler-virus, er en type skadelig programvare som skjuler seg i hull i andre filer. Denne teknikken gjør det veldig vanskelig å oppdage med grunnleggende filsignaturkontroller. Den unngår også å justere størrelsen på den infiserte filen, noe som gjør den enda vanskeligere å oppdage. Det mest kjente eksemplet, CIH, brukte denne teknikken med stor effekt. Den delte koden sin over så mange hull som den trengte, og satte inn en tabell øverst i filen for å spore plasseringen av koden. Moderne antivirusteknikker er i stand til å identifisere denne typen virus, så det er ikke vanlig å bruke.