Az üreges vírus egy viszonylag ritka vírustípus, amely a fájlok nem használt helyeire másolja magát, és így terjed anélkül, hogy befolyásolná a fertőzött anyag méretét. Néha „térkitöltő” vírusoknak is nevezik őket. Sok fájlban vannak üres terek, amelyeket általában figyelmen kívül hagynak, amikor a fájl végrehajtásáról van szó, amelynek részei. Ezeknek a tereknek a jelenléte nem jelent problémát – persze hacsak nem fertőzöttek vírussal.
Mivel a fájlméret nem változik, nem lehet tudni, hogy a fájlt pusztán megváltoztatta-e tulajdonságainak ellenőrzése – ehelyett össze kell hasonlítania egy korábbi, nem fertőzött verzióval biztos. A térkitöltő anyagok 1998 óta léteznek, és meglehetősen nehéz észrevenni őket. Számos nagyon sikeres vírushullám volt a Windows 95/98 napjai körül.
Hogyan működik?
A fájlok megfertőzéséhez a térkitöltőnek először meg kell találnia egy olyan fájlt, amelyben üres hely van. Tehát üres helyeket kell keresnie. Ha valahol üres helyet talál egy fájlban, akkor bemásolja magát, kitöltve a helyet anélkül, hogy megnövelné a fájlt. Ez megnehezíti a víruskereső programok észlelését.
Amíg a vírus elég nagy tereket talál ahhoz, hogy bemásolja magát, továbbra is ezt fogja tenni – ha nem talál sehol, vagy már megfertőzte az összes lehetséges opciót, akkor tétlenül állhat, amíg ki nem indítják, vagy egyszerűen folytatja a vizsgálatot, amíg új, neki megfelelő fájl nem jelenik meg. Megjelenik. Mint ilyen, feldolgozási energiát fogyaszt a háttérben, ami lelassíthat más dolgokat.
Ez a technika primitív víruskereső technikákon alapul, amelyek szinte kizárólag az ismert vírusok aláírásait keresik. Egy létező fájl megfertőzésével a létrejövő fertőzött aláírás egyedi a fájl és a vírus kombinációjára.
Igazi példa
1998-ban a CIH nevű vírus demonstrálta ezt a funkciót. A Csernobil becenevet azért kapta, mert a rakományát véletlenül a több mint egy évtizeddel korábbi csernobili katasztrófa időpontjában állították be. A vírus kifejezetten a Portable Execution vagy PE fájlok hiányosságait célozta meg. Felosztotta a kódját, hogy szépen illeszkedjen ezekbe a hézagokba, és beillesztett egy táblázatot a fájl tetejére, hogy nyomon kövesse a kód helyeit, hogy megfelelően tudjon futni.
A CIH ezután a trigger dátumán felülírja a tárhely első megabájtját nullákkal. Ez általában megsemmisítette a partíciós táblát vagy a fő rendszerindító rekordot. Az elvesztéssel úgy tűnik, mintha az egész meghajtót törölték volna. Az adatok azonban helyreállíthatók voltak. A vírus a BIOS chipet is megpróbálja törölni. Ez csak bizonyos eszközökön volt sikeres, másokon nem. Törölt BIOS-chippel rendelkező eszközökön a chipet vagy újra kell programozni, vagy cserélni kell. A másik alternatíva egy új számítógép beszerzése volt.
A becslések szerint a CIH vírus 1 milliárd USD kárt okozott, és 60 millió számítógépet fertőzött meg világszerte. A vírust Chén Yíngháo, a tajvani Tatung Egyetem hallgatója írta. Chén azt állította, hogy a vírust kihívásként írták le az antivírus-fejlesztők túlzottan merész hatékonysági állításai ellen. Aztán az osztálytársak kiadták, bár nem világos, hogy ez szándékos vagy véletlen volt. Chén bocsánatot kért az egyetemtől, és kiadott egy vírusirtót a CIH számára. Soha nem emeltek vádat, mert akkoriban Tajvanon hiányoztak a számítógépes bűnözésről szóló jogszabályok, és egyetlen áldozat sem indított pert.
Megelőzés
Az üreges vagy térkitöltő vírusok megelőzése legjobban az expozíció kockázatának minimalizálásával valósítható meg. Egy jó lépés az, hogy megbizonyosodjon arról, hogy minden letöltött vagy telepített program és fájl hivatalos, megbízható forrásból származik. A víruskereső programok korábban általában nehézségeket okoztak az üreges vírusok észlelésében. A modern víruskereső technikák azonban sokkal fejlettebbek. Továbbra is fontos, hogy víruskeresőjét naprakészen tartsa, és frissítse a legújabb vírusszignatúrákkal, hogy megkönnyítse az ismert vírusok észlelését és eltávolítását.
Ez a fajta vírus már nem igazán látható. A víruskereső technikák jelentősen fejlődtek, így sokkal könnyebben észlelhetők az ilyen jellegű dolgok. Ezenkívül a víruskészítők még kreatívabb módszereket alkalmaztak a víruskereső szoftverek elkerülésére.
Következtetés
Az üreges vírus, más néven térkitöltő vírus, egy olyan rosszindulatú program, amely más fájlok hézagaiba rejtőzik. Ez a technika nagyon megnehezíti az észlelést az alapvető fájlaláírás-ellenőrzéssel. Ezenkívül elkerüli a fertőzött fájl méretének módosítását, ami még nehezebbé teszi a felismerést. A legismertebb példa, a CIH, nagyszerűen alkalmazta ezt a technikát. A kódot annyi résre osztotta, amennyire szüksége volt, és egy táblázatot szúrt be a fájl tetejére, hogy nyomon kövesse a kód helyét. A modern víruskereső technikák képesek azonosítani az ilyen típusú vírusokat, ezért nem használják általánosan.