En hulrumsvirus er en relativt ualmindelig type virus, der kopierer sig selv ind i ubrugte pladser i filer og spreder sig uden at påvirke filstørrelsen på det, den inficerer. De kaldes nogle gange også "space filler" vira. Mange filer har tomme pladser, der normalt ignoreres, når det kommer til at udføre den fil, de er en del af. Tilstedeværelsen af disse rum er ikke et problem - medmindre de er inficeret med en virus, selvfølgelig.
Da der ikke ændres på filstørrelsen, er det umuligt at vide, om en fil er blevet ændret udelukkende af kontrollere dens egenskaber – i stedet skal du sammenligne den med en tidligere, uinficeret version jo da. Space fillers har eksisteret siden 1998 og er rimeligt svære at få øje på. Der var flere meget vellykkede virusbølger omkring Windows 95/98-dagene.
Hvordan virker det?
For at inficere filer, skal en space filler først finde en fil, der har tom plads i sig. Så den skal scanne for tomme pladser. Når den finder tom plads i en fil et eller andet sted, vil den kopiere sig selv ind og udfylde pladsen uden at gøre filen større. Det gør det svært at opdage af antivirusprogrammer.
Så længe virussen bliver ved med at finde pladser, der er store nok til at kopiere sig selv ind, vil den fortsætte med at gøre det - hvis den ikke finder nogen steder, eller hvis den allerede er inficerede alle mulige muligheder, så kan den sidde inaktiv, indtil den udløses eller bare fortsætte scanningen, indtil en ny fil passer til den kommer til syne. Som sådan vil det forbruge processorkraft i baggrunden, hvilket kan bremse andre ting.
Denne teknik er afhængig af primitive antivirusteknikker, der næsten udelukkende leder efter signaturer af kendte vira. Ved at inficere en eksisterende fil er den resulterende inficerede signatur unik for kombinationen af fil og virus.
Et rigtigt eksempel
I 1998 demonstrerede en virus kaldet CIH denne funktionalitet. Den fik tilnavnet Tjernobyl, fordi dens nyttelast tilfældigt skulle udløses på datoen for Tjernobyl-katastrofen mere end et årti tidligere. Virussen var specifikt rettet mod huller i Portable Execution eller PE-filer. Den delte sin kode for at passe pænt i disse huller og indsatte en tabel øverst i filen for at spore placeringen af sin kode, så den kunne køre korrekt.
CIH ville så på udløsningsdatoen overskrive den første megabyte lagerplads med nuller. Dette ødelagde generelt partitionstabellen eller master boot record. At tabe får det til at se ud som om hele drevet er blevet udslettet. Dataene kunne dog gendannes. Virussen ville også forsøge at slette BIOS-chippen. Dette lykkedes kun på nogle enheder og ikke på andre. På enheder med en slettet BIOS-chip skulle enten chippen omprogrammeres eller udskiftes. Det andet alternativ var at få en ny computer.
Alt fortalte, at CIH-virussen anslås at have forårsaget 1 milliard USD i skader og at have inficeret 60 millioner computere rundt om i verden. Virussen er skrevet af Chén Yíngháo, en studerende ved Tatung University i Taiwan. Chén hævdede, at virussen var skrevet som en udfordring mod de alt for dristige effektivitetspåstande fra antivirusudviklere. Det blev derefter frigivet af klassekammerater, selvom det er uklart, om det var bevidst eller tilfældigt. Chén undskyldte over for universitetet og udgav et antivirus til CIH. Der blev aldrig rejst tiltale, fordi Taiwan på det tidspunkt manglede lovgivning om computerkriminalitet, og ingen ofre kom frem med en retssag.
Forebyggelse
Forebyggelse af hulrums- eller spacefiller-virus udføres bedst ved at minimere din eksponeringsrisiko. Et godt trin er at sikre, at alle programmer og filer, du downloader eller installerer, er fra en officiel, troværdig kilde. Antivirusprogrammer har historisk haft en tendens til at have svært ved at opdage hulrumsvirus. Moderne antivirusteknikker er dog meget mere avancerede. Det er stadig vigtigt at holde dit antivirus opdateret og opdateret med de nyeste virussignaturer for at gøre det nemmere at opdage og fjerne kendte vira.
Denne type virus ses ikke rigtig længere. Antivirusteknikker er avanceret betydeligt, hvilket gør det meget nemmere at opdage denne slags ting. Derudover har virusskabere også vedtaget endnu mere kreative metoder til at undgå antivirussoftware.
Konklusion
En hulrumsvirus, også kendt som en space filler-virus, er en type malware, der gemmer sig i huller i andre filer. Denne teknik gør det virkelig svært at opdage med grundlæggende filsignaturkontrol. Det undgår også at justere den inficerede fils størrelse, hvilket gør det endnu sværere at opdage. Det mest kendte eksempel, CIH, brugte denne teknik med stor effekt. Den delte sin kode på tværs af så mange huller, som den havde brug for, og indsatte en tabel øverst i filen for at spore placeringen af dens kode. Moderne antivirusteknikker er i stand til at identificere denne type virus, så det er ikke almindeligt anvendt.