Virus šupljine relativno je neuobičajen tip virusa koji se kopira u neiskorištene prostore u datotekama, šireći se tako bez utjecaja na veličinu datoteke onoga što zarazi. Ponekad se nazivaju i virusima koji popunjavaju prostor. Mnoge datoteke imaju prazne prostore koji se obično zanemaruju kada je u pitanju izvođenje datoteke čiji su dio. Prisutnost tih prostora nije problem - osim ako nisu zaraženi virusom, naravno.
Budući da se veličina datoteke ne mijenja, nemoguće je znati je li datoteka promijenjena isključivo provjeravajući njegova svojstva – umjesto toga, morali biste ga usporediti s prethodnom, nezaraženom verzijom Naravno. Ispune prostora postoje od 1998. i relativno ih je teško uočiti. Bilo je nekoliko vrlo uspješnih virusnih valova oko Windows 95/98 dana.
Kako radi?
Da bi zarazio datoteke, osoba koja popunjava prostor prvo mora pronaći datoteku koja ima prazan prostor u sebi. Dakle, treba skenirati prazne prostore. Kada negdje pronađe prazan prostor u datoteci, kopirat će se unutra, ispunjavajući prostor bez povećavanja datoteke. Zbog toga ga antivirusni programi teško otkrivaju.
Sve dok virus pronalazi dovoljno velike prostore da se u njih kopira, nastavit će to činiti - ako ne pronađe nigdje ili je već zarazio sve moguće opcije, tada može ostati u stanju mirovanja dok se ne pokrene ili jednostavno nastaviti skenirati dok se ne pojavi nova datoteka koja mu odgovara pojavljuje se. Kao takav, trošit će procesorsku snagu u pozadini što može usporiti druge stvari.
Ova tehnika se oslanja na primitivne antivirusne tehnike koje gotovo isključivo traže potpise poznatih virusa. Inficiranjem postojeće datoteke, rezultirajući zaraženi potpis jedinstven je za kombinaciju datoteke i virusa.
Pravi primjer
Godine 1998. virus nazvan CIH pokazao je ovu funkcionalnost. Dobio je nadimak Černobil jer je njegov teret slučajno postavljen da se aktivira na datum černobilske katastrofe više od desetljeća ranije. Virus je posebno ciljao praznine u Portable Execution ili PE datotekama. Podijelio je svoj kod kako bi se uredno uklopio u te praznine i umetnuo tablicu na vrh datoteke kako bi pratio lokacije svog koda kako bi mogao ispravno raditi.
CIH bi zatim, na datum okidanja, prepisao prvi megabajt pohrane nulama. Ovo je općenito uništilo particijsku tablicu ili glavni boot zapis. Zbog gubitka izgleda kao da je cijeli pogon obrisan. Podaci su se, međutim, mogli vratiti. Virus bi također pokušao obrisati BIOS čip. Ovo je bilo uspješno samo na nekim uređajima, ali ne i na drugima. Na uređajima s izbrisanim BIOS čipom bilo je potrebno reprogramiranje ili zamjenu čipa. Druga alternativa bila je nabava novog računala.
Procjenjuje se da je virus CIH prouzročio štetu od milijardu dolara i da je zarazio 60 milijuna računala diljem svijeta. Virus je napisao Chén Yíngháo, student na Sveučilištu Tatung u Tajvanu. Chén je tvrdio da je virus napisan kao izazov protiv pretjerano hrabrih tvrdnji o učinkovitosti koje su iznijeli programeri antivirusa. Zatim su ga pustili kolege iz razreda, iako nije jasno je li to bilo namjerno ili slučajno. Chén se ispričao sveučilištu i objavio antivirus za CIH. Optužbe nikada nisu podignute jer u to vrijeme Tajvan nije imao zakone o računalnom kriminalu i nijedna žrtva nije podnijela tužbu.
Prevencija
Spriječavanje karijesnih virusa ili virusa spacefillera najbolje je učiniti minimiziranjem rizika od izlaganja. Jedan dobar korak je provjeriti jesu li svi programi i datoteke koje preuzmete ili instalirate iz službenog, pouzdanog izvora. Antivirusni programi povijesno su imali poteškoća s otkrivanjem karijesnih virusa. Moderne antivirusne tehnike su ipak mnogo naprednije. I dalje je važno da vaš antivirusni program bude ažuran i ažuriran najnovijim virusnim potpisima kako biste lakše otkrili i uklonili poznate viruse.
Ova vrsta virusa se više ne viđa. Antivirusne tehnike znatno su napredovale što olakšava otkrivanje ovakvih stvari. Osim toga, kreatori virusa također su usvojili još kreativnije metode izbjegavanja antivirusnog softvera.
Zaključak
Virus šupljine, poznat i kao virus koji puni prostor, vrsta je zlonamjernog softvera koji se skriva u prazninama u drugim datotekama. Ova tehnika čini stvarno teško otkrivanje s osnovnim provjerama potpisa datoteke. Također izbjegava podešavanje veličine zaražene datoteke, što ju čini još težom za otkrivanje. Najpoznatiji primjer, CIH, koristio je ovu tehniku s velikim učinkom. Podijelio je svoj kod na onoliko praznina koliko je potrebno i umetnuo tablicu na vrh datoteke kako bi pratio lokaciju svog koda. Suvremene antivirusne tehnike sposobne su identificirati ovu vrstu virusa, stoga se ne koriste često.