Vad är ett Cavity Virus?

Ett hålrumsvirus är en relativt ovanlig typ av virus som kopierar sig själv till oanvända utrymmen i filer och sprids på så sätt utan att det påverkar filstorleken på vad det än infekterar. De kallas ibland också "space filler"-virus. Många filer har tomma utrymmen som normalt ignoreras när det gäller att köra filen de är en del av. Förekomsten av dessa utrymmen är inget problem – såvida de inte är infekterade av ett virus, förstås.

Eftersom ingen förändring görs i filstorleken är det omöjligt att veta om en fil har ändrats enbart genom att kontrollera dess egenskaper – istället måste du jämföra den med en tidigare, oinfekterad version för att vara säker. Space fillers har funnits sedan 1998 och är ganska svåra att upptäcka. Det fanns flera mycket framgångsrika virusvågor runt Windows 95/98-dagarna.

Hur fungerar det?

För att infektera filer måste en blankettfyllare först hitta en fil som har tomt utrymme. Så den måste skanna efter tomma utrymmen. När den hittar tomt utrymme i en fil någonstans, kommer den att kopiera in sig själv och fylla utrymmet utan att göra filen större. Det gör det svårt att upptäcka av antivirusprogram.

Så länge som viruset fortsätter att hitta utrymmen som är tillräckligt stora för att kopiera sig själv till, kommer det att fortsätta att göra det – om det inte hittar någonstans eller om det redan är infekterat alla möjliga alternativ, kan det sitta inaktivt tills det utlöses eller helt enkelt fortsätta att skanna tills en ny fil lämplig för det verkar. Som sådan kommer den att förbruka processorkraft i bakgrunden vilket kan sakta ner andra saker.

Denna teknik bygger på primitiva antivirustekniker som nästan uteslutande letar efter signaturer för kända virus. Genom att infektera en befintlig fil blir den resulterande infekterade signaturen unik för kombinationen av fil och virus.

Ett riktigt exempel

1998 visade ett virus som heter CIH denna funktion. Den fick smeknamnet Tjernobyl eftersom dess nyttolast för övrigt skulle utlösas vid datumet för Tjernobyl-katastrofen mer än ett decennium tidigare. Viruset riktade sig specifikt mot luckor i Portable Execution eller PE-filer. Den delade upp sin kod så att den passade prydligt i dessa luckor och infogade en tabell överst i filen för att spåra kodens placering så att den kunde fungera korrekt.

CIH skulle sedan, på utlösningsdatumet, skriva över den första megabyten lagring med nollor. Detta förstörde i allmänhet partitionstabellen eller huvudstartposten. Att förlora som gör att det ser ut som om hela enheten har torkats. Uppgifterna gick dock att återställa. Viruset skulle också försöka torka BIOS-chippet. Detta lyckades bara på vissa enheter och inte på andra. På enheter med ett utplånat BIOS-chip behövde antingen chippet omprogrammeras eller bytas ut. Det andra alternativet var att skaffa en ny dator.

Allt berättade att CIH-viruset uppskattades ha orsakat 1 miljard USD i skador och att ha infekterat 60 miljoner datorer runt om i världen. Viruset skrevs av Chén Yíngháo, en student vid Tatung University i Taiwan. Chén hävdade att viruset skrevs som en utmaning mot de alltför djärva effektivitetspåståendena från antivirusutvecklare. Den släpptes sedan av klasskamrater, även om det är oklart om det var avsiktligt eller oavsiktligt. Chén bad universitetet om ursäkt och publicerade ett antivirus för CIH. Inga åtal väcktes någonsin eftersom Taiwan vid den tiden saknade databrottslagstiftning och inga offer kom fram med en stämningsansökan.

Förebyggande

Att förebygga hålrums- eller spacefiller-virus görs bäst genom att minimera din exponeringsrisk. Ett bra steg är att se till att alla program och filer du laddar ner eller installerar kommer från en officiell, pålitlig källa. Antivirusprogram tenderade historiskt att ha svårt att upptäcka kavitetsvirus. Moderna antivirustekniker är dock mycket mer avancerade. Det är fortfarande viktigt att hålla ditt antivirus uppdaterat och uppdaterat med de senaste virussignaturerna för att göra det lättare att upptäcka och ta bort kända virus.

Denna typ av virus ses inte riktigt längre. Antivirustekniker har avancerat avsevärt vilket gör det mycket lättare att upptäcka den här typen av saker. Dessutom har virusskapare också antagit ännu mer kreativa metoder för att undvika antivirusprogram.

Slutsats

Ett hålrumsvirus, även känt som ett space filler-virus, är en typ av skadlig programvara som gömmer sig i luckor i andra filer. Denna teknik gör det väldigt svårt att upptäcka med grundläggande filsignaturkontroller. Det undviker också att justera den infekterade filens storlek, vilket gör den ännu svårare att upptäcka. Det mest välkända exemplet, CIH, använde denna teknik med stor effekt. Den delade upp sin kod över så många luckor som den behövde och infogade en tabell överst i filen för att spåra platsen för dess kod. Moderna antivirustekniker kan identifiera denna typ av virus, så det är inte vanligt förekommande.