რა არის ღრუს ვირუსი?

MiscellaneaApr 09, 2023

ღრუს ვირუსი არის შედარებით იშვიათი ტიპის ვირუსი, რომელიც კოპირდება ფაილების გამოუყენებელ სივრცეებში, რითაც ვრცელდება ფაილის ზომაზე ზემოქმედების გარეშე, რაც არ უნდა აინფიცირებს. მათ ზოგჯერ ასევე უწოდებენ "სივრცის შემავსებელ" ვირუსებს. ბევრ ფაილს აქვს ცარიელი ადგილები, რომლებიც ჩვეულებრივ იგნორირებულია იმ ფაილის შესრულებისას, რომლის ნაწილიც არის. ამ სივრცეების არსებობა პრობლემას არ წარმოადგენს - თუ ისინი ვირუსით არ არიან დაინფიცირებულნი, რა თქმა უნდა.

ვინაიდან ფაილის ზომაში ცვლილება არ ხდება, შეუძლებელია იმის ცოდნა, შეიცვალა თუ არა ფაილი მხოლოდ მისი თვისებების შემოწმება – ამის ნაცვლად, თქვენ უნდა შეადაროთ ის წინა, არაინფიცირებულ ვერსიას დარწმუნებული ვარ. კოსმოსური შემავსებლები არსებობს 1998 წლიდან და საკმაოდ ძნელი შესამჩნევია. იყო რამდენიმე ძალიან წარმატებული ვირუსის ტალღა Windows 95/98 დღის გარშემო.

Როგორ მუშაობს?

ფაილების ინფიცირებისთვის, სივრცის შემავსებელმა ჯერ უნდა მოძებნოს ფაილი, რომელსაც აქვს ცარიელი ადგილი. ასე რომ, მას სჭირდება ცარიელი ადგილების სკანირება. როდესაც ის აღმოაჩენს ცარიელ ადგილს ფაილში სადმე, ის დააკოპირებს საკუთარ თავს და შეავსებს ადგილს ფაილის გადიდების გარეშე. ეს ართულებს ანტივირუსული პროგრამების ამოცნობას.

სანამ ვირუსი აგრძელებს საკმარისად დიდ ადგილს პოულობს საკუთარი თავის დასაკოპირებლად, ის ასე გააგრძელებს – თუ ვერსად იპოვის ან უკვე არის ინფიცირებულია ყველა შესაძლო ვარიანტი, შემდეგ ის შეიძლება დარჩეს უმოქმედოდ, სანამ არ გააქტიურდება ან უბრალოდ გააგრძელოს სკანირება, სანამ მისთვის შესაფერისი ახალი ფაილი არ იქნება ჩნდება. როგორც ასეთი, ის მოიხმარს გადამამუშავებელ ენერგიას ფონზე, რამაც შეიძლება შეანელოს სხვა რამ.

ეს ტექნიკა ეყრდნობა პრიმიტიულ ანტივირუსულ ტექნიკას, რომელიც თითქმის ექსკლუზიურად ეძებს ცნობილი ვირუსების ხელმოწერებს. არსებული ფაილის ინფიცირებით, შედეგად ინფიცირებული ხელმოწერა უნიკალურია ფაილისა და ვირუსის კომბინაციისთვის.

ნამდვილი მაგალითი

1998 წელს ვირუსმა, სახელად CIH, აჩვენა ეს ფუნქცია. მას მეტსახელად ჩერნობილი ეწოდა, რადგან მისი ტვირთამწეობა შემთხვევით დაყენებული იყო ჩერნობილის კატასტროფის თარიღზე ათ წელზე მეტი ხნის წინ. ვირუსი სპეციალურად მიზნად ისახავს ხარვეზებს Portable Execution ან PE ფაილებში. მან დაყო თავისი კოდი, რათა კარგად მოერგოს ამ ხარვეზებს და ჩასვა ცხრილი ფაილის ზედა ნაწილში, რათა თვალყური ადევნოს მისი კოდის ადგილებს, რათა ის სწორად იმუშაოს.

ამის შემდეგ, CIH, ტრიგერის თარიღზე, გადაწერს მეგაბაიტის პირველ მეგაბაიტს ნულით. ამან ზოგადად გაანადგურა დანაყოფის ცხრილი ან ძირითადი ჩატვირთვის ჩანაწერი. დაკარგვის შემთხვევაში, ის გამოიყურება, თითქოს მთელი დისკი წაშლილია. თუმცა, მონაცემები აღდგენილი იყო. ვირუსი ასევე შეეცდება წაშალოს BIOS ჩიპი. ეს იყო წარმატებული მხოლოდ ზოგიერთ მოწყობილობაზე და არა სხვებზე. წაშლილი BIOS ჩიპის მქონე მოწყობილობებზე, ჩიპს სჭირდებოდა გადაპროგრამირება ან შეცვლა. სხვა ალტერნატივა იყო ახალი კომპიუტერის მიღება.

ყველამ თქვა, რომ CIH ვირუსმა გამოიწვია 1 მილიარდი აშშ დოლარის ზარალი და დააინფიცირა 60 მილიონი კომპიუტერი მთელს მსოფლიოში. ვირუსი დაწერა ტაივანის ტატუნგ უნივერსიტეტის სტუდენტმა ჩენ იინგაომ. ჩენმა თქვა, რომ ვირუსი დაიწერა, როგორც გამოწვევა ანტივირუსის დეველოპერების მიერ გაკეთებული ზედმეტად თამამი ეფექტურობის შესახებ. შემდეგ ის გაავრცელეს თანაკლასელებმა, თუმცა გაურკვეველია, ეს იყო მიზანმიმართული თუ შემთხვევითი. ჩენმა უნივერსიტეტს ბოდიში მოუხადა და CIH-ისთვის ანტივირუსი გამოაქვეყნა. ბრალდება არასოდეს წაუყენებიათ, რადგან იმ დროს ტაივანს არ ჰქონდა კანონმდებლობა კომპიუტერული დანაშაულის შესახებ და არც ერთი მსხვერპლი არ გამოვიდა სასამართლოში.

პრევენცია

ღრუს ან კოსმოსური შემავსებლის ვირუსების პრევენცია საუკეთესოა თქვენი ექსპოზიციის რისკის მინიმუმამდე შემცირებით. ერთი კარგი ნაბიჯი არის დარწმუნდეთ, რომ ყველა პროგრამა და ფაილი, რომელსაც ჩამოტვირთავთ ან დააინსტალირეთ, არის ოფიციალური, სანდო წყაროდან. ანტივირუსულ პროგრამებს ისტორიულად უჭირდა ღრუს ვირუსების აღმოჩენა. თუმცა, თანამედროვე ანტივირუსული ტექნიკა ბევრად უფრო მოწინავეა. ჯერ კიდევ მნიშვნელოვანია, რომ თქვენი ანტივირუსი განახლდეს და განახლდეს უახლესი ვირუსის ხელმოწერებით, რათა გაადვილდეს ცნობილი ვირუსების აღმოჩენა და წაშლა.

ამ ტიპის ვირუსი ნამდვილად აღარ ჩანს. ანტივირუსული ტექნიკა მნიშვნელოვნად განვითარდა, რაც ამარტივებს ამ სახის ნივთების აღმოჩენას. გარდა ამისა, ვირუსის შემქმნელებმა ასევე მიიღეს კიდევ უფრო კრეატიული მეთოდები ანტივირუსული პროგრამების თავიდან ასაცილებლად.

დასკვნა

ღრუს ვირუსი, რომელიც ასევე ცნობილია, როგორც სივრცის შემავსებელი ვირუსი, არის მავნე პროგრამის ტიპი, რომელიც იმალება სხვა ფაილების ხარვეზებში. ეს ტექნიკა ნამდვილად ართულებს ფაილის ხელმოწერის ძირითადი შემოწმების აღმოჩენას. ის ასევე თავს არიდებს ინფიცირებული ფაილის ზომის რეგულირებას, რაც კიდევ უფრო ართულებს მის აღმოჩენას. ყველაზე ცნობილი მაგალითი, CIH, გამოიყენა ეს ტექნიკა დიდი ეფექტისთვის. მან დაყო თავისი კოდი იმდენ ხარვეზზე, რამდენიც სჭირდებოდა და ჩასვა ცხრილი ფაილის ზედა ნაწილში, რათა თვალყური ადევნოს მისი კოდის ადგილს. თანამედროვე ანტივირუსულ ტექნიკას შეუძლია ამ ტიპის ვირუსის იდენტიფიცირება, ამიტომ იგი ხშირად არ გამოიყენება.