空洞ウイルスとは何ですか?

その他Apr 09, 2023

キャビティ ウイルスは、ファイル内の未使用のスペースに自分自身をコピーする比較的まれなタイプのウイルスであり、感染対象のファイル サイズに影響を与えずに拡散します。 「スペースフィラー」ウイルスと呼ばれることもあります。 多くのファイルには、その一部であるファイルを実行する際に通常無視される空のスペースがあります。 もちろん、ウイルスに感染していない限り、これらのスペースの存在は問題ではありません。

ファイルサイズは変更されないため、ファイルが純粋に変更されたかどうかを知ることは不可能です。 そのプロパティをチェックします – 代わりに、感染していない以前のバージョンと比較する必要があります もちろん。 スペース フィラーは 1998 年から存在しており、見つけるのはかなり困難です。 Windows 95/98 の時代には、非常に成功したウイルスの波がいくつかありました。

それはどのように機能しますか?

スペース フィラーは、ファイルに感染するために、最初に空きスペースのあるファイルを見つける必要があります。 そのため、空きスペースをスキャンする必要があります。 ファイルのどこかに空のスペースが見つかると、ファイルを大きくすることなくスペースを埋めて、自分自身をコピーします。 これにより、ウイルス対策プログラムによる検出が困難になります。

ウイルスが自分自身をコピーするのに十分な大きさのスペースを見つけ続ける限り、コピーし続けます。 可能性のあるすべてのオプションに感染した場合、トリガーされるまでアイドル状態になるか、適切な新しいファイルが見つかるまでスキャンを続行する可能性があります が表示されます。 そのため、バックグラウンドで処理能力を消費し、他の処理が遅くなる可能性があります。

この手法は、既知のウイルスのシグネチャのみを探す原始的なウイルス対策手法に依存しています。 既存のファイルに感染することにより、結果として生じる感染シグネチャは、ファイルとウイルスの組み合わせに固有のものになります。

実際の例

1998 年、CIH と呼ばれるウイルスがこの機能を実証しました。 チェルノブイリの愛称は、10 年以上前のチェルノブイリ災害の日にペイロードがトリガーされるように設定されていたためです。 このウイルスは特に、Portable Execution または PE ファイルのギャップを標的にしていました。 それらのギャップにきちんと収まるようにコードを分割し、ファイルの先頭にテーブルを挿入して、コードの場所を追跡し、適切に実行できるようにしました.

次に、CIH はトリガー日に、ストレージの最初のメガバイトをゼロで上書きします。 これにより、通常、パーティション テーブルまたはマスター ブート レコードが破壊されました。 それを失うと、ドライブ全体が消去されたように見えます。 ただし、データは回復可能でした。 このウイルスは、BIOS チップの消去も試みます。 これは一部のデバイスでのみ成功し、他のデバイスでは成功しませんでした。 BIOS チップが消去されたデバイスでは、チップの再プログラミングまたは交換が必要でした。 もう 1 つの選択肢は、新しいコンピューターを入手することでした。

全体として、CIH ウイルスは 10 億米ドルの損害を引き起こし、世界中で 6,000 万台のコンピューターに感染したと推定されています。 このウイルスは、台湾の大同大学の学生、Chen Yínghao によって作成されました。 Chen は、このウイルスは、アンチウイルス開発者による過度に大胆な効率の主張に対する挑戦として書かれたと主張しました。 その後、クラスメートによってリリースされましたが、これが意図的なものなのか偶発的なものなのかは不明です. チェンは大学に謝罪し、CIH 向けのアンチウイルスを公開しました。 当時、台湾にはコンピューター犯罪に関する法律がなく、被害者が訴訟を起こしていなかったため、起訴されることはありませんでした。

防止

虫歯ウイルスやスペースフィラー ウイルスを予防するには、曝露のリスクを最小限に抑えることが最善の方法です。 ダウンロードまたはインストールするすべてのプログラムとファイルが、公式の信頼できるソースからのものであることを確認することをお勧めします。 ウイルス対策プログラムは、歴史的に虫歯ウイルスの検出が困難な傾向にありました。 ただし、最新のウイルス対策技術ははるかに高度です。 ウイルス対策ソフトウェアを最新の状態に保ち、最新のウイルス シグネチャで更新して、既知のウイルスの検出と削除を容易にすることは依然として重要です。

このタイプのウイルスは、実際には見られなくなりました。 ウイルス対策技術は大幅に進歩しており、この種のものをより簡単に検出できるようになっています。 さらに、ウイルスの作成者は、ウイルス対策ソフトウェアを回避するためのさらに独創的な方法も採用しています。

結論

スペース フィラー ウイルスとしても知られるキャビティ ウイルスは、他のファイルのギャップに自身を隠すマルウェアの一種です。 この手法により、基本的なファイル署名チェックでは検出が非常に困難になります。 また、感染したファイルのサイズを調整しないため、検出がさらに困難になります。 最も有名な例である CIH は、この手法を使用して大きな効果を上げました。 コードを必要な数のギャップに分割し、ファイルの先頭にテーブルを挿入してコードの場所を追跡しました。 最新のウイルス対策技術は、この種のウイルスを識別できるため、一般的には使用されていません。