וירוס חלל הוא סוג נדיר יחסית של וירוס שמעתיק את עצמו למקומות לא בשימוש בקבצים, ובכך מתפשט מבלי להשפיע על גודל הקובץ של כל מה שהוא מדביק. לפעמים הם נקראים גם וירוסי "מילוי חלל". לקבצים רבים יש חללים ריקים שבדרך כלל מתעלמים מהם כשמדובר בביצוע הקובץ שהם חלק ממנו. נוכחותם של חללים אלה אינה מהווה בעיה - אלא אם כן הם נגועים בווירוס, כמובן.
מכיוון שלא נעשה שינוי בגודל הקובץ, אי אפשר לדעת אם קובץ השתנה אך ורק על ידי בדיקת המאפיינים שלו - במקום זאת, תצטרך להשוות אותו לגרסה קודמת, לא נגועה בטוח. חומרי מילוי חללים קיימים מאז 1998 וקשה להבחין בהם. היו כמה גלי וירוסים מוצלחים מאוד סביב הימים של Windows 95/98.
איך זה עובד?
על מנת להדביק קבצים, מילוי שטח צריך קודם למצוא קובץ שיש בו מקום ריק. אז, זה צריך לסרוק עבור חללים ריקים. כאשר הוא מוצא מקום ריק בקובץ איפשהו, הוא יעתיק את עצמו פנימה, וימלא את החלל מבלי להגדיל את הקובץ. זה מקשה על זיהוי על ידי תוכניות אנטי וירוס.
כל עוד הנגיף ימשיך למצוא חללים גדולים מספיק להעתיק את עצמו אליהם, הוא ימשיך לעשות זאת - אם הוא לא ימצא מקום או שהוא כבר נמצא הדביק את כל האפשרויות האפשריות, ואז הוא עלול לשבת במצב פעיל עד שהופעל או פשוט להמשיך בסריקה עד לקובץ חדש שמתאים לו מופיע. ככזה, הוא יצרוך כוח עיבוד ברקע מה שיכול להאט דברים אחרים.
טכניקה זו מסתמכת על טכניקות אנטי-וירוס פרימיטיביות המחפשות כמעט אך ורק חתימות של וירוסים ידועים. על ידי הדבקה של קובץ קיים, החתימה הנגועה המתקבלת היא ייחודית לשילוב של קובץ לוירוס.
דוגמה אמיתית
בשנת 1998 וירוס בשם CIH, הדגים את הפונקציונליות הזו. הוא זכה לכינוי צ'רנוביל מכיוון שהמטען שלו היה אמור להפעיל, אגב, בתאריך אסון צ'רנוביל יותר מעשור קודם לכן. הווירוס מכוון במיוחד לפערים בקבצי ביצוע נייד או PE. הוא פיצל את הקוד שלו כדי להתאים בצורה מסודרת לרווחים האלה והכניס טבלה בראש הקובץ כדי לעקוב אחר מיקומי הקוד שלו כדי שיוכל לפעול כראוי.
לאחר מכן, CIH, בתאריך ההפעלה, יחליף את המגה-בייט הראשון של האחסון באפסים. זה בדרך כלל הרס את טבלת המחיצות או את רשומת האתחול הראשית. אובדן שגורם לזה להיראות כאילו כל הכונן נמחק. הנתונים, לעומת זאת, היו ניתנים לשחזור. הנגיף ינסה גם למחוק את שבב ה-BIOS. זה הצליח רק במכשירים מסוימים ולא באחרים. במכשירים עם שבב BIOS מחולק, השבב היה זקוק לתכנות מחדש או החלפה. החלופה הנוספת הייתה לקנות מחשב חדש.
על פי ההערכות, נגיף ה-CIH גרם לנזקים של מיליארד דולר והדביק 60 מיליון מחשבים ברחבי העולם. הנגיף נכתב על ידי צ'ן ינגהאו, סטודנט באוניברסיטת טאטונג בטייוואן. צ'ן טען שהווירוס נכתב כאתגר נגד טענות היעילות הנועזות מדי של מפתחי אנטי-וירוס. לאחר מכן הוא שוחרר על ידי חברים לכיתה, אם כי לא ברור אם זה היה מכוון או מקרי. צ'ן התנצל בפני האוניברסיטה ופרסם אנטי וירוס עבור CIH. מעולם לא הוגשו כתבי אישום משום שבאותה עת, לטייוואן חסרה חקיקה של פשעי מחשב ואף קורבנות לא הגישו תביעה.
מְנִיעָה
מניעת וירוסי חלל או מילוי חלל נעשית בצורה הטובה ביותר על ידי מזעור סיכון החשיפה שלך. צעד טוב אחד הוא לוודא שכל התוכניות והקבצים שאתה מוריד או מתקין הם ממקור רשמי ואמין. תוכניות אנטי-וירוס נטו בעבר להתקשות בזיהוי וירוסי חלל. עם זאת, טכניקות אנטי-וירוס מודרניות מתקדמות הרבה יותר. עדיין חשוב לשמור על האנטי וירוס שלך מעודכן ומעודכן בחתימות הווירוס העדכניות ביותר כדי להקל על זיהוי והסרה של וירוסים ידועים.
סוג זה של וירוס כבר לא ממש רואים. טכניקות האנטי וירוס התקדמו במידה ניכרת והופכות את זה הרבה יותר קל לזהות דברים מסוג זה. בנוסף, יוצרי וירוסים אימצו גם שיטות יצירתיות יותר להימנע מתוכנות אנטי-וירוס.
סיכום
וירוס חלל, המכונה גם וירוס מילוי שטח, הוא סוג של תוכנה זדונית שמסתירה את עצמה בפערים בקבצים אחרים. טכניקה זו מקשה מאוד על זיהוי באמצעות בדיקות חתימות בסיסיות של קבצים. זה גם נמנע מהתאמת גודל הקובץ הנגוע, מה שמקשה עוד יותר על זיהויו. הדוגמה הידועה ביותר, CIH, השתמשה בטכניקה זו להשפעה רבה. הוא פיצל את הקוד שלו לכמה פערים שהוא צריך והכניס טבלה בראש הקובץ כדי לעקוב אחר מיקום הקוד שלו. טכניקות אנטי-וירוס מודרניות מסוגלות לזהות וירוסים מסוג זה, ולכן לא נעשה בו שימוש נפוץ.