Ein Cavity-Virus ist ein relativ ungewöhnlicher Virustyp, der sich selbst in ungenutzte Bereiche in Dateien kopiert und sich so verbreitet, ohne die Dateigröße dessen zu beeinträchtigen, was er infiziert. Sie werden manchmal auch als „Space Filler“-Viren bezeichnet. Viele Dateien haben Leerzeichen, die normalerweise ignoriert werden, wenn es darum geht, die Datei auszuführen, zu der sie gehören. Das Vorhandensein dieser Bereiche ist kein Problem – es sei denn natürlich, sie sind von einem Virus befallen.
Da keine Änderung an der Dateigröße vorgenommen wird, ist es unmöglich zu wissen, ob eine Datei rein durch geändert wurde Überprüfung seiner Eigenschaften – stattdessen müssten Sie es mit einer früheren, nicht infizierten Version vergleichen, um zu sein Sicher. Space Filler gibt es seit 1998 und sind ziemlich schwer zu erkennen. Rund um die Tage von Windows 95/98 gab es mehrere sehr erfolgreiche Virenwellen.
Wie funktioniert es?
Um Dateien zu infizieren, muss ein Leerzeichen zuerst eine Datei finden, die leeren Platz enthält. Es muss also nach Leerzeichen suchen. Wenn es irgendwo in einer Datei leeren Platz findet, kopiert es sich selbst hinein und füllt den Platz aus, ohne die Datei zu vergrößern. Das erschwert die Erkennung durch Antivirenprogramme.
Solange der Virus immer wieder Räume findet, die groß genug sind, um sich selbst zu kopieren, wird er dies auch weiterhin tun – wenn er nirgendwo findet oder es bereits ist infiziert alle möglichen Optionen, dann kann es im Leerlauf bleiben, bis es ausgelöst wird, oder einfach mit dem Scannen fortfahren, bis eine neue Datei dafür geeignet ist erscheint. Als solches verbraucht es Rechenleistung im Hintergrund, was andere Dinge verlangsamen kann.
Diese Technik stützt sich auf primitive Antivirus-Techniken, die fast ausschließlich nach Signaturen bekannter Viren suchen. Durch das Infizieren einer vorhandenen Datei ist die resultierende infizierte Signatur für die Kombination aus Datei und Virus eindeutig.
Ein echtes Beispiel
1998 demonstrierte ein Virus namens CIH diese Funktionalität. Es erhielt den Spitznamen Tschernobyl, weil seine Nutzlast übrigens mehr als ein Jahrzehnt zuvor zum Zeitpunkt der Tschernobyl-Katastrophe ausgelöst werden sollte. Der Virus zielte speziell auf Lücken in Portable Execution- oder PE-Dateien ab. Es teilte seinen Code auf, um genau in diese Lücken zu passen, und fügte eine Tabelle am Anfang der Datei ein, um die Speicherorte seines Codes zu verfolgen, damit er ordnungsgemäß ausgeführt werden konnte.
CIH würde dann am Auslösedatum das erste Megabyte des Speichers mit Nullen überschreiben. Dies zerstörte im Allgemeinen die Partitionstabelle oder den Master Boot Record. Wenn Sie das verlieren, sieht es so aus, als ob das gesamte Laufwerk gelöscht wurde. Die Daten waren jedoch wiederherstellbar. Der Virus würde auch versuchen, den BIOS-Chip zu löschen. Dies war nur auf einigen Geräten erfolgreich und auf anderen nicht. Bei Geräten mit einem gelöschten BIOS-Chip musste entweder der Chip neu programmiert oder ersetzt werden. Die andere Alternative war, einen neuen Computer zu bekommen.
Insgesamt wurde geschätzt, dass der CIH-Virus Schäden in Höhe von 1 Milliarde US-Dollar verursacht und 60 Millionen Computer auf der ganzen Welt infiziert hat. Der Virus wurde von Chén Yíngháo, einem Studenten der Tatung University in Taiwan, geschrieben. Chén behauptete, dass der Virus als Herausforderung gegen die allzu kühnen Effizienzansprüche von Antivirus-Entwicklern geschrieben wurde. Es wurde dann von Klassenkameraden veröffentlicht, obwohl unklar ist, ob dies absichtlich oder versehentlich war. Chén entschuldigte sich bei der Universität und veröffentlichte ein Antivirenprogramm für CIH. Es wurden nie Anklagen erhoben, weil Taiwan zu dieser Zeit keine Gesetze zur Computerkriminalität hatte und kein Opfer eine Klage eingereicht hatte.
Verhütung
Das Verhindern von Hohlraum- oder Raumfüllerviren erfolgt am besten, indem Sie Ihr Expositionsrisiko minimieren. Ein guter Schritt ist sicherzustellen, dass alle Programme und Dateien, die Sie herunterladen oder installieren, aus einer offiziellen, vertrauenswürdigen Quelle stammen. Antivirenprogramme hatten in der Vergangenheit häufig Schwierigkeiten, Cavity-Viren zu erkennen. Moderne Antivirus-Techniken sind jedoch viel fortschrittlicher. Es ist dennoch wichtig, Ihr Antivirenprogramm auf dem neuesten Stand zu halten und mit den neuesten Virensignaturen zu aktualisieren, damit bekannte Viren leichter erkannt und entfernt werden können.
Diese Art von Virus wird nicht mehr wirklich gesehen. Antivirus-Techniken haben sich erheblich weiterentwickelt, was es viel einfacher macht, solche Dinge zu erkennen. Darüber hinaus haben Virenersteller sogar noch kreativere Methoden zur Vermeidung von Antivirensoftware eingeführt.
Abschluss
Ein Cavity-Virus, auch bekannt als Space-Filler-Virus, ist eine Art Malware, die sich in Lücken in anderen Dateien versteckt. Diese Technik macht es wirklich schwierig, sie mit einfachen Dateisignaturprüfungen zu erkennen. Es vermeidet auch die Anpassung der Größe der infizierten Datei, was die Erkennung noch schwieriger macht. Das bekannteste Beispiel, CIH, nutzte diese Technik mit großer Wirkung. Es teilte seinen Code auf so viele Lücken wie nötig auf und fügte oben in der Datei eine Tabelle ein, um den Speicherort seines Codes zu verfolgen. Moderne Antivirus-Techniken sind in der Lage, diese Art von Viren zu identifizieren, daher wird sie nicht häufig verwendet.