Virus rongga adalah jenis virus yang relatif tidak umum yang menggandakan dirinya sendiri ke ruang yang tidak terpakai dalam file, sehingga menyebar tanpa memengaruhi ukuran file apa pun yang menginfeksinya. Mereka kadang-kadang juga disebut virus "pengisi ruang". Banyak file memiliki ruang kosong yang biasanya diabaikan saat mengeksekusi file yang menjadi bagiannya. Kehadiran ruang-ruang ini tidak menjadi masalah – kecuali mereka terinfeksi oleh virus, tentu saja.
Karena tidak ada perubahan yang dilakukan pada ukuran file, tidak mungkin untuk mengetahui apakah file telah diubah murni oleh memeriksa propertinya – sebagai gantinya, Anda harus membandingkannya dengan versi sebelumnya yang tidak terinfeksi Tentu. Pengisi ruang telah ada sejak 1998 dan cukup sulit dikenali. Ada beberapa gelombang virus yang sangat sukses di sekitar hari-hari Windows 95/98.
Bagaimana cara kerjanya?
Untuk menginfeksi file, pengisi ruang harus terlebih dahulu menemukan file yang memiliki ruang kosong di dalamnya. Jadi, perlu memindai ruang kosong. Ketika menemukan ruang kosong dalam file di suatu tempat, itu akan menyalin dirinya sendiri, mengisi ruang tanpa membuat file lebih besar. Itu membuatnya sulit untuk dideteksi oleh program anti-virus.
Selama virus terus menemukan ruang yang cukup besar untuk menyalin dirinya sendiri, ia akan terus melakukannya – jika ia tidak menemukan tempat atau sudah menginfeksi semua opsi yang memungkinkan, lalu ia mungkin diam hingga terpicu atau cukup melanjutkan pemindaian hingga file baru cocok untuknya muncul. Dengan demikian, ini akan menghabiskan daya pemrosesan di latar belakang yang dapat memperlambat hal lain.
Teknik ini mengandalkan teknik antivirus primitif yang hampir secara eksklusif mencari tanda tangan dari virus yang dikenal. Dengan menginfeksi file yang ada, tanda tangan terinfeksi yang dihasilkan unik untuk kombinasi file dan virus.
Sebuah contoh nyata
Pada tahun 1998 sebuah virus bernama CIH, mendemonstrasikan fungsi ini. Itu dijuluki Chernobyl karena muatannya secara tidak sengaja dipicu pada tanggal bencana Chernobyl lebih dari satu dekade sebelumnya. Virus ini secara khusus menargetkan celah dalam file Portable Execution atau PE. Itu membagi kodenya agar pas di celah itu dan menyisipkan tabel di bagian atas file untuk melacak lokasi kodenya sehingga bisa berjalan dengan baik.
CIH kemudian akan, pada tanggal pemicuan, menimpa penyimpanan megabita pertama dengan nol. Ini umumnya menghancurkan tabel partisi atau master boot record. Kehilangan yang membuatnya tampak seolah-olah seluruh drive telah dihapus. Namun, datanya dapat dipulihkan. Virus juga akan berusaha menghapus chip BIOS. Ini hanya berhasil di beberapa perangkat dan tidak di perangkat lainnya. Pada perangkat dengan chip BIOS yang dihapus, chip tersebut perlu diprogram ulang atau diganti. Alternatif lain adalah mendapatkan komputer baru.
Semua mengatakan virus CIH diperkirakan telah menyebabkan kerusakan US$1 miliar dan telah menginfeksi 60 juta komputer di seluruh dunia. Virus ini ditulis oleh Chén Yíngháo, seorang mahasiswa di Universitas Tatung di Taiwan. Chén mengklaim bahwa virus tersebut ditulis sebagai tantangan terhadap klaim efisiensi yang terlalu berani yang dibuat oleh pengembang antivirus. Itu kemudian dirilis oleh teman sekelas, meski tidak jelas apakah ini disengaja atau tidak disengaja. Chén meminta maaf kepada universitas dan menerbitkan antivirus untuk CIH. Tidak ada tuntutan yang diajukan karena pada saat itu, Taiwan tidak memiliki undang-undang kejahatan komputer dan tidak ada korban yang mengajukan gugatan.
Pencegahan
Mencegah virus rongga atau spacefiller paling baik dilakukan dengan meminimalkan risiko paparan Anda. Salah satu langkah yang baik adalah memastikan bahwa semua program dan file yang Anda unduh atau instal berasal dari sumber resmi yang dapat dipercaya. Program antivirus secara historis cenderung mengalami kesulitan mendeteksi virus rongga. Namun, teknik antivirus modern jauh lebih maju. Tetap penting untuk selalu memperbarui antivirus Anda dan memperbaruinya dengan tanda tangan virus terbaru agar lebih mudah mendeteksi dan menghapus virus yang dikenal.
Virus jenis ini sudah tidak terlalu terlihat lagi. Teknik antivirus telah berkembang jauh sehingga lebih mudah untuk mendeteksi hal semacam ini. Selain itu, pembuat virus juga mengadopsi metode yang lebih kreatif untuk menghindari perangkat lunak antivirus.
Kesimpulan
Virus rongga, juga dikenal sebagai virus pengisi ruang, adalah jenis malware yang menyembunyikan dirinya di celah di file lain. Teknik ini membuatnya sangat sulit untuk dideteksi dengan pemeriksaan tanda tangan file dasar. Itu juga menghindari penyesuaian ukuran file yang terinfeksi, membuatnya lebih sulit untuk dideteksi. Contoh paling terkenal, CIH, menggunakan teknik ini dengan efek yang luar biasa. Itu membagi kodenya menjadi banyak celah yang diperlukan dan menyisipkan tabel di bagian atas file untuk melacak lokasi kodenya. Teknik antivirus modern mampu mengidentifikasi jenis virus ini, sehingga tidak umum digunakan.