Õõnsusviirus on suhteliselt haruldane viiruse tüüp, mis kopeerib end failides kasutamata ruumidesse, levides nii, ilma et see mõjutaks nakatava faili suurust. Neid nimetatakse mõnikord ka "ruumitäite viirusteks". Paljudes failides on tühjad ruumid, mida tavaliselt eiratakse faili käivitamisel, mille osa nad on. Nende ruumide olemasolu pole probleem – muidugi juhul, kui need pole viirusega nakatunud.
Kuna faili suurust ei muudeta, on võimatu teada, kas faili on ainult muutnud selle atribuutide kontrollimine – selle asemel peaksite seda võrdlema eelmise, nakatumata versiooniga kindlasti. Ruumitäiteaineid on kasutatud alates 1998. aastast ja neid on suhteliselt raske märgata. Windows 95/98 päevade ümber oli mitmeid väga edukaid viiruslaineid.
Kuidas see töötab?
Failide nakatamiseks peab ruumitäitja esmalt leidma faili, milles on tühja ruumi. Niisiis, see peab otsima tühje kohti. Kui see leiab kuskil failis tühja ruumi, kopeerib see end sisse, täites ruumi ilma faili suuremaks muutmata. See raskendab viirusetõrjeprogrammide tuvastamist.
Kuni viirus leiab piisavalt suuri ruume, kuhu end kopeerida, jätkab ta seda – kui ta ei leia kuskilt või on juba nakatanud kõik võimalikud valikud, siis võib see olla jõude kuni käivitamiseni või lihtsalt jätkata skannimist kuni uue, talle sobiva failini ilmub. Sellisena tarbib see taustal töötlemisvõimsust, mis võib muid asju aeglustada.
See tehnika tugineb primitiivsetele viirusetõrjetehnikatele, mis otsivad peaaegu eranditult teadaolevate viiruste allkirju. Olemasoleva faili nakatamisel on tulemuseks olev nakatunud signatuur faili ja viiruse kombinatsioonile ainulaadne.
Tõeline näide
1998. aastal demonstreeris seda funktsiooni viirus nimega CIH. See sai hüüdnime Tšernobõli, kuna selle kandevõime oli juhuslikult määratud Tšernobõli katastroofi kuupäeval rohkem kui kümme aastat varem. Viirus oli suunatud spetsiaalselt Portable Execution- või PE-failide lünkadele. See jagas koodi nii, et see sobiks kenasti nendesse lünkadesse, ja sisestas faili ülaossa tabeli, et jälgida koodi asukohti, et see saaks korralikult töötada.
Seejärel kirjutaks CIH käivituskuupäeval esimese megabaidi salvestusruumi nullidega üle. See hävitas üldiselt partitsioonitabeli või alglaadimiskirje. Kaotamise korral tundub, nagu oleks kogu draiv pühitud. Andmed olid aga taastatavad. Viirus üritab ka BIOS-i kiipi pühkida. See õnnestus ainult mõnes seadmes, teistes mitte. Pühkinud BIOS-kiibiga seadmetes vajas kiip ümberprogrammeerimist või väljavahetamist. Teine võimalus oli hankida uus arvuti.
Kõik ütlesid, et CIH viirus põhjustas hinnanguliselt 1 miljard USA dollarit kahju ja nakatas 60 miljonit arvutit kogu maailmas. Viiruse kirjutas Chén Yíngháo, Taiwani Tatungi ülikooli üliõpilane. Chén väitis, et viirus oli kirjutatud väljakutsena viirusetõrjearendajate liiga julgete tõhususnõuete vastu. Seejärel andsid klassikaaslased selle välja, kuigi pole selge, kas see oli tahtlik või juhuslik. Chén vabandas ülikooli ees ja avaldas CIH jaoks viirusetõrje. Süüdistusi ei esitatud kunagi, sest tol ajal puudusid Taiwanil arvutikuritegevuse õigusaktid ja ükski ohver ei esitanud kohtuasja.
Ärahoidmine
Õõnsuste või ruumitäite viiruste ennetamiseks on kõige parem minimeerida kokkupuute riski. Üks hea samm on veenduda, et kõik allalaaditavad või installitud programmid ja failid pärinevad ametlikust ja usaldusväärsest allikast. Viirusetõrjeprogrammidel oli ajalooliselt raskusi õõnsusviiruste tuvastamisega. Kaasaegsed viirusetõrjetehnikad on aga palju arenenumad. Teadaolevate viiruste tuvastamise ja eemaldamise hõlbustamiseks on endiselt oluline hoida oma viirusetõrjet ajakohasena ja värskendada uusimate viirusesignatuuridega.
Seda tüüpi viirust ei ole tegelikult enam näha. Viirusetõrjetehnikad on märkimisväärselt arenenud, muutes sedalaadi asjade tuvastamise palju lihtsamaks. Lisaks on viiruste loojad võtnud kasutusele veelgi loovamad meetodid viirusetõrjetarkvara vältimiseks.
Järeldus
Õõnsusviirus, tuntud ka kui ruumitäiteviirus, on teatud tüüpi pahavara, mis peidab end teiste failide lünkadesse. See tehnika muudab tuvastamise põhiliste failisignatuurikontrollidega väga raskeks. Samuti väldib see nakatunud faili suuruse muutmist, muutes selle tuvastamise veelgi raskemaks. Tuntuim näide, CIH, kasutas seda tehnikat suurepäraselt. See jagas oma koodi nii paljude lünkade vahel, kui vaja, ja sisestas faili ülaossa tabeli koodi asukoha jälgimiseks. Kaasaegsed viirusetõrjetehnikad suudavad seda tüüpi viirusi tuvastada, mistõttu seda sageli ei kasutata.