يعد فيروس التجويف نوعًا غير شائع نسبيًا من الفيروسات التي تنسخ نفسها في مساحات غير مستخدمة في الملفات ، وبالتالي تنتشر دون التأثير على حجم الملف الذي يصيبه. وتسمى أحيانًا فيروسات "حشو الفضاء". تحتوي العديد من الملفات على مسافات فارغة يتم تجاهلها عادةً عندما يتعلق الأمر بتنفيذ الملف الذي هم جزء منه. لا يمثل وجود هذه المساحات مشكلة - ما لم تكن مصابة بفيروس بالطبع.
نظرًا لعدم إجراء أي تغيير على حجم الملف ، فمن المستحيل معرفة ما إذا كان الملف قد تم تغييره تمامًا من خلال التحقق من خصائصه - بدلاً من ذلك ، يجب عليك مقارنته بإصدار سابق غير مصاب بالتأكيد. حشوات الفضاء موجودة منذ عام 1998 ويصعب اكتشافها بشكل معقول. كانت هناك عدة موجات فيروسات ناجحة جدًا حول Windows 95/98 يومًا.
كيف يعمل؟
من أجل إصابة الملفات ، يحتاج برنامج ملء الفراغ أولاً إلى العثور على ملف به مساحة فارغة. لذلك ، فإنه يحتاج إلى البحث عن المساحات الفارغة. عندما يجد مساحة فارغة في ملف ما في مكان ما ، فإنه ينسخ نفسه ، ويملأ المساحة دون تكبير الملف. هذا يجعل من الصعب الكشف عن طريق برامج مكافحة الفيروسات.
طالما استمر الفيروس في العثور على مساحات كبيرة بما يكفي لنسخ نفسه فيها ، فسيستمر في القيام بذلك - إذا لم يجد مكانًا أو كان موجودًا بالفعل مصابًا بجميع الخيارات الممكنة ، فقد يظل خاملاً حتى يتم تشغيله أو يواصل فحصه ببساطة حتى ملف جديد مناسب له يبدو. على هذا النحو ، سوف تستهلك طاقة المعالجة في الخلفية والتي يمكن أن تبطئ أشياء أخرى.
تعتمد هذه التقنية على تقنيات مكافحة الفيروسات البدائية التي تبحث بشكل حصري تقريبًا عن توقيعات الفيروسات المعروفة. من خلال إصابة ملف موجود ، يكون التوقيع المصاب الناتج فريدًا عن مجموعة الملفات والفيروسات.
مثال حقيقي
في عام 1998 ، أظهر فيروس يسمى CIH هذه الوظيفة. أطلق عليها اسم تشيرنوبيل لأن حمولتها تم ضبطها بالمصادفة لتطلق في تاريخ كارثة تشيرنوبيل قبل أكثر من عقد من الزمان. استهدف الفيروس على وجه التحديد الثغرات في التنفيذ المحمول أو ملفات PE. قام بتقسيم الكود الخاص به ليلائم تلك الفجوات بدقة وإدراج جدول في أعلى الملف لتتبع مواقع الكود الخاص به حتى يمكن تشغيله بشكل صحيح.
عندئذٍ ، يقوم CIH ، في تاريخ التشغيل ، بالكتابة فوق الميجابايت الأولى من التخزين بالأصفار. يؤدي هذا بشكل عام إلى إتلاف جدول الأقسام أو سجل التمهيد الرئيسي. فقدان ذلك يجعل الأمر يبدو كما لو تم مسح محرك الأقراص بالكامل. ومع ذلك ، كانت البيانات قابلة للاسترداد. سيحاول الفيروس أيضًا مسح شريحة BIOS. كان هذا ناجحًا فقط على بعض الأجهزة دون غيرها. على الأجهزة التي تحتوي على شريحة BIOS ممسوحة ، تحتاج الشريحة إما إلى إعادة البرمجة أو الاستبدال. كان البديل الآخر هو الحصول على جهاز كمبيوتر جديد.
جميعهم قالوا إن فيروس CIH قد تسبب في أضرار بمليار دولار أمريكي وإصابة 60 مليون جهاز كمبيوتر في جميع أنحاء العالم. كتب الفيروس شين ينغاو ، الطالب في جامعة تاتونج في تايوان. ادعى Chén أن الفيروس تمت كتابته كتحدي ضد ادعاءات الكفاءة الجريئة للغاية التي قدمها مطورو برامج مكافحة الفيروسات. تم إصداره بعد ذلك من قبل زملاء الدراسة ، على الرغم من أنه من غير الواضح ما إذا كان هذا متعمدًا أم عرضيًا. اعتذر شين للجامعة ونشر مضاد فيروسات لـ CIH. لم يتم توجيه أي تهم لأنه في ذلك الوقت ، كانت تايوان تفتقر إلى تشريع خاص بجرائم الكمبيوتر ولم يتقدم أي ضحايا بدعوى قضائية.
وقاية
أفضل طريقة لمنع الإصابة بفيروسات التجويف أو فيروسات الفضاء هي تقليل مخاطر التعرض. تتمثل إحدى الخطوات الجيدة في التأكد من أن جميع البرامج والملفات التي تقوم بتنزيلها أو تثبيتها هي من مصدر رسمي موثوق به. تميل برامج مكافحة الفيروسات تاريخياً إلى صعوبة اكتشاف فيروسات التجويف. ومع ذلك ، فإن تقنيات مكافحة الفيروسات الحديثة أكثر تقدمًا. لا يزال من المهم تحديث برنامج مكافحة الفيروسات وتحديثه بأحدث توقيعات الفيروسات لتسهيل اكتشاف الفيروسات المعروفة وإزالتها.
هذا النوع من الفيروسات لم يعد موجودًا بالفعل. تطورت تقنيات مكافحة الفيروسات بشكل كبير مما جعل اكتشاف هذا النوع من الأشياء أسهل بكثير. بالإضافة إلى ذلك ، اعتمد مطورو الفيروسات أيضًا طرقًا أكثر إبداعًا لتجنب برامج مكافحة الفيروسات.
خاتمة
فيروس التجويف ، المعروف أيضًا باسم فيروس حشو الفضاء ، هو نوع من البرامج الضارة التي تخفي نفسها في فجوات في ملفات أخرى. تجعل هذه التقنية من الصعب اكتشافها من خلال فحوصات توقيع الملفات الأساسية. كما أنه يتجنب تعديل حجم الملف المصاب ، مما يجعل اكتشافه أكثر صعوبة. المثال الأكثر شهرة ، CIH ، استخدم هذه التقنية لتأثير كبير. قام بتقسيم الكود الخاص به عبر العديد من الفجوات التي يحتاجها وإدراج جدول في أعلى الملف لتتبع موقع الكود الخاص به. تقنيات مكافحة الفيروسات الحديثة قادرة على تحديد هذا النوع من الفيروسات ، لذلك فهي ليست شائعة الاستخدام.