Dutinový virus je relativně neobvyklý typ viru, který se kopíruje do nevyužitých míst v souborech, čímž se šíří bez ovlivnění velikosti souboru čehokoli, co infikuje. Někdy se jim také říká „space filler“ viry. Mnoho souborů má prázdná místa, která jsou normálně ignorována, pokud jde o spuštění souboru, jehož jsou součástí. Přítomnost těchto prostorů není problém – pokud nejsou infikovány virem, samozřejmě.
Protože se velikost souboru nemění, není možné zjistit, zda byl soubor změněn čistě kontrola jeho vlastností – místo toho byste jej museli porovnat s předchozí, neinfikovanou verzí Tak určitě. Prostorové výplně existují od roku 1998 a je poměrně obtížné je najít. Kolem dnů Windows 95/98 proběhlo několik velmi úspěšných virových vln.
Jak to funguje?
Aby bylo možné infikovat soubory, musí vyplňovač místa nejprve najít soubor, který má v sobě prázdné místo. Musí tedy hledat prázdná místa. Když někde v souboru najde prázdné místo, zkopíruje se a zaplní prostor, aniž by soubor zvětšil. To ztěžuje detekci antivirovými programy.
Dokud bude virus nacházet dostatečně velká místa, aby se do nich mohl zkopírovat, bude v tom pokračovat – pokud nikde nenajde nebo už infikoval všechny možné možnosti, pak může zůstat nečinný, dokud se nespustí, nebo jednoduše pokračovat ve skenování, dokud nenajde nový vhodný soubor objeví se. Jako takový bude spotřebovávat výpočetní výkon na pozadí, což může zpomalit jiné věci.
Tato technika se opírá o primitivní antivirové techniky, které téměř výhradně hledají signatury známých virů. Infikováním existujícího souboru je výsledný infikovaný podpis jedinečný pro kombinaci souboru a viru.
Skutečný příklad
V roce 1998 tuto funkci prokázal virus zvaný CIH. Přezdívalo se mu Černobyl, protože jeho užitečné zatížení bylo mimochodem nastaveno tak, aby se spustilo v den černobylské katastrofy o více než deset let dříve. Virus se konkrétně zaměřil na mezery v souborech Portable Execution nebo PE. Rozdělil svůj kód, aby se úhledně vešel do těchto mezer, a vložil tabulku na začátek souboru, aby sledoval umístění svého kódu, aby mohl správně fungovat.
CIH by pak k datu spuštění přepsala první megabajt úložiště nulami. To obecně zničilo tabulku oddílů nebo hlavní spouštěcí záznam. Ztráta způsobí, že to vypadá, jako by byl vymazán celý disk. Data však byla obnovitelná. Virus by se také pokusil vymazat čip BIOSu. To se podařilo pouze na některých zařízeních a nikoli. Na zařízeních s vymazaným čipem BIOS bylo nutné čip přeprogramovat nebo vyměnit. Další možností bylo pořídit si nový počítač.
Odhaduje se, že virus CIH způsobil škody ve výši 1 miliardy USD a infikoval 60 milionů počítačů po celém světě. Virus napsal Chén Yingháo, student Tatungské univerzity na Tchaj-wanu. Chén tvrdil, že virus byl napsán jako výzva proti příliš odvážným tvrzením o účinnosti ze strany vývojářů antivirů. Poté jej vydali spolužáci, i když není jasné, zda to bylo úmyslné nebo náhodné. Chén se univerzitě omluvil a zveřejnil antivirus pro CIH. Nikdy nebyla vznesena žádná obvinění, protože v té době na Tchaj-wanu chyběly právní předpisy týkající se počítačové kriminality a žádné oběti se neobrátily s žalobou.
Prevence
Prevence dutin nebo spacefiller virů se nejlépe provádí minimalizací rizika expozice. Jedním dobrým krokem je ujistit se, že všechny programy a soubory, které stahujete nebo instalujete, pocházejí z oficiálního důvěryhodného zdroje. Antivirové programy historicky mívaly potíže s odhalováním dutinových virů. Moderní antivirové techniky jsou však mnohem pokročilejší. Stále je důležité udržovat váš antivirus aktuální a aktualizovaný o nejnovější virové signatury, aby bylo snazší detekovat a odstraňovat známé viry.
Tento typ viru už opravdu není vidět. Antivirové techniky značně pokročily, takže je mnohem snazší odhalit tento druh věcí. Kromě toho tvůrci virů také přijali ještě kreativnější metody, jak se vyhnout antivirovému softwaru.
Závěr
Dutinový virus, také známý jako virus vyplňující prostor, je typ malwaru, který se skrývá v mezerách v jiných souborech. Tato technika velmi ztěžuje detekci pomocí základních kontrol podpisů souborů. Vyhýbá se také úpravě velikosti infikovaného souboru, což ztěžuje jeho detekci. Nejznámější příklad, CIH, použil tuto techniku s velkým efektem. Rozdělil svůj kód na tolik mezer, kolik potřeboval, a vložil tabulku na začátek souboru, aby sledoval umístění svého kódu. Moderní antivirové techniky jsou schopny tento druh virů identifikovat, takže se běžně nepoužívají.