Čo je Cavity Virus?

Dutinný vírus je relatívne neobvyklý typ vírusu, ktorý sa skopíruje do nevyužitých priestorov v súboroch, čím sa šíri bez ovplyvnenia veľkosti súboru čohokoľvek, čo infikuje. Niekedy sa nazývajú aj vírusy „vyplňujúce priestor“. Mnoho súborov má prázdne miesta, ktoré sa zvyčajne ignorujú pri spustení súboru, ktorého sú súčasťou. Prítomnosť týchto priestorov nie je problémom – pokiaľ nie sú infikované vírusom, samozrejme.

Keďže sa veľkosť súboru nezmení, nie je možné zistiť, či bol súbor zmenený čisto kontrolou jeho vlastností – namiesto toho by ste ho museli pre istotu porovnať s predchádzajúcou, neinfikovanou verziou. Priestorové výplne existujú od roku 1998 a je pomerne ťažké ich rozpoznať. Okolo dní Windows 95/98 bolo niekoľko veľmi úspešných vírusových vĺn.

Ako to funguje?

Aby bolo možné infikovať súbory, musí vyplňovač miesta najskôr nájsť súbor, ktorý má v sebe prázdne miesto. Musí teda vyhľadať prázdne miesta. Keď niekde nájde prázdne miesto v súbore, skopíruje sa a zaplní priestor bez toho, aby sa súbor zväčšil. To sťažuje detekciu antivírusovými programami.

Pokiaľ bude vírus stále hľadať dostatočne veľké miesta na to, aby sa do nich mohol skopírovať, bude to robiť aj naďalej – ak nenájde žiadne miesto alebo ak už je infikovaný všetkými možnými možnosťami, môže nečinne prestať pracovať, kým sa nespustí, alebo jednoducho pokračovať v skenovaní, kým sa neobjaví nový súbor. na to sa javí vhodné. Ako taký bude spotrebovávať výpočtový výkon na pozadí, čo môže spomaliť iné veci.

Táto technika sa spolieha na primitívne antivírusové techniky, ktoré takmer výlučne hľadajú podpisy známych vírusov. Infikovaním existujúceho súboru je výsledný infikovaný podpis jedinečný pre kombináciu súboru a vírusu.

Skutočný príklad

V roku 1998 vírus s názvom CIH preukázal túto funkčnosť. Prezývali ho Černobyľ, pretože jeho užitočné zaťaženie bolo mimochodom nastavené tak, aby sa spustilo v deň černobyľskej katastrofy o viac ako desať rokov skôr. Vírus sa špecificky zameral na medzery v súboroch Portable Execution alebo PE. Rozdelil svoj kód tak, aby sa úhľadne zmestil do týchto medzier, a vložil tabuľku do hornej časti súboru na sledovanie umiestnení svojho kódu, aby mohol správne bežať.

CIH potom v deň spustenia prepíše prvý megabajt úložného priestoru nulami. Vo všeobecnosti to zničilo tabuľku oddielov alebo hlavný zavádzací záznam. Strata spôsobuje, že to vyzerá, akoby bola vymazaná celá jednotka. Dáta sa však dali obnoviť. Vírus by sa tiež pokúsil vymazať čip BIOS. Podarilo sa to len na niektorých zariadeniach a nie na iných. Na zariadeniach s vymazaným čipom BIOS bolo potrebné čip preprogramovať alebo vymeniť. Ďalšou možnosťou bolo získať nový počítač.

Odhaduje sa, že vírus CIH spôsobil škody vo výške 1 miliardy USD a infikoval 60 miliónov počítačov na celom svete. Vírus napísal Chén Yingháo, študent Tatungskej univerzity na Taiwane. Chén tvrdil, že vírus bol napísaný ako výzva proti príliš odvážnym tvrdeniam o účinnosti zo strany vývojárov antivírusov. Potom ho vydali spolužiaci, aj keď nie je jasné, či to bolo úmyselné alebo náhodné. Chén sa ospravedlnil univerzite a zverejnil antivírus pre CIH. Nikdy neboli vznesené žiadne obvinenia, pretože v tom čase na Taiwane chýbali právne predpisy o počítačovej kriminalite a žiadne obete sa neobrátili na súd.

Prevencia

Vírusom dutín alebo výplňových priestorov je najlepšie predchádzať minimalizovaním rizika expozície. Jedným dobrým krokom je uistiť sa, že všetky programy a súbory, ktoré stiahnete alebo nainštalujete, pochádzajú z oficiálneho a dôveryhodného zdroja. Antivírusové programy mali v minulosti tendenciu mať problémy s detekciou dutinových vírusov. Moderné antivírusové techniky sú však oveľa pokročilejšie. Stále je dôležité, aby bol váš antivírus aktuálny a aktualizovaný najnovšími vírusovými signatúrami, aby sa uľahčilo zisťovanie a odstraňovanie známych vírusov.

Tento typ vírusu sa už naozaj nevidí. Antivírusové techniky značne pokročili, takže je oveľa jednoduchšie odhaliť tento druh vecí. Okrem toho tvorcovia vírusov prijali ešte kreatívnejšie metódy, ako sa vyhnúť antivírusovému softvéru.

Záver

Vírus dutiny, tiež známy ako vírus na vyplnenie priestoru, je typ malvéru, ktorý sa skrýva v medzerách v iných súboroch. Táto technika skutočne sťažuje detekciu pomocou základných kontrol podpisov súborov. Tiež sa vyhýba úprave veľkosti infikovaného súboru, čo sťažuje jeho detekciu. Najznámejší príklad, CIH, použil túto techniku ​​s veľkým efektom. Rozdelil svoj kód na toľko medzier, koľko potreboval, a do hornej časti súboru vložil tabuľku na sledovanie umiestnenia svojho kódu. Moderné antivírusové techniky sú schopné identifikovať tento druh vírusu, takže sa bežne nepoužíva.