Кухинен вирус е сравнително необичаен тип вирус, който се копира в неизползвани пространства във файловете, като по този начин се разпространява, без да засяга размера на файла на това, което заразява. Понякога се наричат още вируси „запълващи пространството“. Много файлове имат празни пространства, които обикновено се игнорират, когато става въпрос за изпълнение на файла, от който са част. Наличието на тези пространства не е проблем – освен ако не са заразени с вирус, разбира се.
Тъй като не се прави промяна в размера на файла, невъзможно е да се знае дали даден файл е бил променен само от проверка на неговите свойства – вместо това ще трябва да го сравните с предишна, незаразена версия сигурен. Космическите пълнители съществуват от 1998 г. и са доста трудни за забелязване. Имаше няколко много успешни вирусни вълни около дните на Windows 95/98.
Как работи?
За да зарази файлове, запълнителят на пространство първо трябва да намери файл, който има празно място в него. Така че трябва да сканира за празни пространства. Когато открие някъде празно място във файл, той ще се копира, запълвайки пространството, без да увеличава файла. Това затруднява откриването му от антивирусни програми.
Докато вирусът продължава да намира достатъчно големи пространства, за да се копира в тях, той ще продължи да го прави – ако не намери никъде или вече е зарази всички възможни опции, след което може да остане неактивен, докато не бъде задействан, или просто да продължи сканирането си до нов файл, подходящ за него появява се. Като такъв, той ще консумира процесорна мощност във фонов режим, което може да забави други неща.
Тази техника разчита на примитивни антивирусни техники, които почти изключително търсят сигнатури на известни вируси. Чрез заразяване на съществуващ файл полученият заразен подпис е уникален за комбинацията от файл и вирус.
Реален пример
През 1998 г. вирус, наречен CIH, демонстрира тази функционалност. Беше наречен Чернобил, защото неговият полезен товар случайно беше настроен да се задейства на датата на Чернобилската катастрофа повече от десетилетие по-рано. Вирусът е насочен конкретно към пропуски в Portable Execution или PE файлове. Той раздели кода си, за да пасне добре в тези пропуски, и вмъкна таблица в горната част на файла, за да проследи местоположенията на своя код, за да може да работи правилно.
След това, на датата на задействане, CIH би презаписал първия мегабайт памет с нули. Това обикновено унищожава таблицата на дяловете или главния зареждащ запис. Загубата го кара да изглежда така, сякаш цялото устройство е изтрито. Данните обаче можеха да бъдат възстановени. Вирусът също ще се опита да изтрие BIOS чипа. Това беше успешно само на някои устройства, но не и на други. На устройства с изтрит BIOS чип или чипът се нуждае от препрограмиране или подмяна. Другата алтернатива беше да си взема нов компютър.
Смята се, че вирусът CIH е причинил щети от 1 милиард щатски долара и е заразил 60 милиона компютъра по света. Вирусът е написан от Chén Yíngháo, студент в университета Tatung в Тайван. Чен твърди, че вирусът е написан като предизвикателство срещу прекалено смелите твърдения за ефективност, направени от разработчиците на антивирусни програми. След това беше пуснат от съученици, въпреки че не е ясно дали това е умишлено или случайно. Чен се извини на университета и публикува антивирусна програма за CIH. Никога не са били повдигани обвинения, тъй като по това време в Тайван липсва законодателство за компютърни престъпления и нито една жертва не е завела дело.
Предотвратяване
Предотвратяването на вируси на кухини или пълнители на пространство се прави най-добре чрез минимизиране на риска от излагане. Една добра стъпка е да се уверите, че всички програми и файлове, които изтегляте или инсталирате, са от официален, надежден източник. Антивирусните програми исторически са имали трудности при откриването на кухини вируси. Съвременните антивирусни техники обаче са много по-напреднали. Все още е важно да поддържате антивирусната си програма актуална и актуализирана с най-новите сигнатури на вируси, за да улесните откриването и премахването на известни вируси.
Този тип вируси вече не се срещат. Антивирусните техники са напреднали значително, което прави много по-лесно откриването на подобни неща. Освен това създателите на вируси са приели още по-креативни методи за избягване на антивирусен софтуер.
Заключение
Вирусът с кухини, известен също като вирус за запълване на пространство, е вид зловреден софтуер, който се крие в празнини в други файлове. Тази техника го прави много труден за откриване с основни проверки на подписа на файла. Той също така избягва коригирането на размера на заразения файл, което го прави още по-труден за откриване. Най-известният пример, CIH, използва тази техника с голям ефект. Той разделя кода си на толкова пропуски, колкото е необходимо, и вмъква таблица в горната част на файла, за да проследи местоположението на своя код. Съвременните антивирусни техники са в състояние да идентифицират този вид вирус, така че не се използва често.