Un virus de la cavité est un type de virus relativement rare qui se copie dans les espaces inutilisés des fichiers, se propageant ainsi sans affecter la taille du fichier de ce qu'il infecte. Ils sont parfois aussi appelés virus "space filler". De nombreux fichiers ont des espaces vides qui sont normalement ignorés lors de l'exécution du fichier dont ils font partie. La présence de ces espaces n'est pas un problème - à moins qu'ils ne soient infectés par un virus, bien sûr.
Étant donné qu'aucune modification n'est apportée à la taille du fichier, il est impossible de savoir si un fichier a été modifié uniquement par vérifier ses propriétés - à la place, vous devrez le comparer à une version précédente non infectée pour être bien sûr. Les remplisseurs d'espace existent depuis 1998 et sont raisonnablement difficiles à repérer. Il y a eu plusieurs vagues de virus très réussies autour des jours de Windows 95/98.
Comment ça marche?
Pour infecter des fichiers, un remplisseur d'espace doit d'abord trouver un fichier contenant de l'espace vide. Il doit donc rechercher les espaces vides. Lorsqu'il trouve de l'espace vide dans un fichier quelque part, il se copie lui-même, remplissant l'espace sans agrandir le fichier. Cela le rend difficile à détecter par les programmes antivirus.
Tant que le virus continue de trouver des espaces suffisamment grands pour se copier, il continuera à le faire - s'il ne trouve nulle part ou s'il est déjà infecté toutes les options possibles, il peut rester inactif jusqu'à ce qu'il soit déclenché ou simplement continuer son analyse jusqu'à ce qu'un nouveau fichier lui convienne apparaît. En tant que tel, il consommera de la puissance de traitement en arrière-plan, ce qui peut ralentir d'autres choses.
Cette technique repose sur des techniques antivirus primitives qui recherchent presque exclusivement des signatures de virus connus. En infectant un fichier existant, la signature infectée résultante est unique à la combinaison du fichier et du virus.
Un vrai exemple
En 1998, un virus appelé CIH, a démontré cette fonctionnalité. Il a été surnommé Tchernobyl parce que sa charge utile devait d'ailleurs se déclencher à la date de la catastrophe de Tchernobyl plus d'une décennie plus tôt. Le virus ciblait spécifiquement les lacunes des fichiers Portable Execution ou PE. Il a divisé son code pour s'adapter parfaitement à ces lacunes et a inséré un tableau en haut du fichier pour suivre les emplacements de son code afin qu'il puisse fonctionner correctement.
Le CIH écraserait alors, à la date de déclenchement, le premier mégaoctet de stockage par des zéros. Cela détruisait généralement la table de partition ou l'enregistrement de démarrage principal. Perdre cela donne l'impression que tout le lecteur a été effacé. Les données, cependant, étaient récupérables. Le virus tenterait également d'effacer la puce du BIOS. Cela n'a réussi que sur certains appareils et pas sur d'autres. Sur les appareils avec une puce BIOS effacée, la puce devait être reprogrammée ou remplacée. L'autre alternative était d'obtenir un nouvel ordinateur.
Au total, on estime que le virus CIH a causé 1 milliard de dollars de dommages et infecté 60 millions d'ordinateurs dans le monde. Le virus a été écrit par Chén Yíngháo, étudiant à l'Université Tatung à Taiwan. Chén a affirmé que le virus avait été écrit comme un défi contre les affirmations d'efficacité trop audacieuses faites par les développeurs d'antivirus. Il a ensuite été publié par des camarades de classe, bien qu'il ne soit pas clair si cela était délibéré ou accidentel. Chén s'est excusé auprès de l'université et a publié un antivirus pour le CIH. Aucune accusation n'a jamais été portée parce qu'à l'époque, Taïwan n'avait pas de législation sur la criminalité informatique et aucune victime n'a porté plainte.
La prévention
La meilleure façon de prévenir les virus de cavité ou de remplissage d'espace est de minimiser votre risque d'exposition. Une bonne étape consiste à vous assurer que tous les programmes et fichiers que vous téléchargez ou installez proviennent d'une source officielle et digne de confiance. Les programmes antivirus avaient historiquement tendance à avoir des difficultés à détecter les virus de la cavité. Les techniques antivirus modernes sont cependant beaucoup plus avancées. Il est toujours important de maintenir votre antivirus à jour et mis à jour avec les dernières signatures de virus pour faciliter la détection et la suppression des virus connus.
Ce type de virus ne se voit plus vraiment. Les techniques antivirus ont considérablement évolué, ce qui facilite grandement la détection de ce genre de choses. De plus, les créateurs de virus ont également adopté des méthodes encore plus créatives pour éviter les logiciels antivirus.
Conclusion
Un virus de cavité, également connu sous le nom de virus de remplissage d'espace, est un type de logiciel malveillant qui se cache dans les lacunes d'autres fichiers. Cette technique rend la détection très difficile avec les vérifications de signature de fichier de base. Cela évite également d'ajuster la taille du fichier infecté, ce qui le rend encore plus difficile à détecter. L'exemple le plus connu, le CIH, a utilisé cette technique à bon escient. Il a divisé son code en autant d'espaces que nécessaire et a inséré un tableau en haut du fichier pour suivre l'emplacement de son code. Les techniques antivirus modernes sont capables d'identifier ce type de virus, il n'est donc pas couramment utilisé.