캐비티 바이러스는 파일의 사용되지 않은 공간에 자신을 복사하는 비교적 드문 유형의 바이러스로 감염 대상 파일 크기에 영향을 주지 않고 확산됩니다. 그들은 때때로 "공간 필러" 바이러스라고도 합니다. 많은 파일에는 자신이 속한 파일을 실행할 때 일반적으로 무시되는 빈 공간이 있습니다. 이러한 공간의 존재는 문제가 되지 않습니다. 물론 바이러스에 감염되지 않는 한 말입니다.
파일 크기는 변경되지 않으므로 순전히 파일이 변경되었는지 여부를 알 수 없습니다. 속성 확인 – 대신 이전의 감염되지 않은 버전과 비교해야 합니다. 확신하는. 공간 필러는 1998년부터 사용되어 왔으며 찾기가 상당히 어렵습니다. Windows 95/98 시절에는 매우 성공적인 바이러스 물결이 몇 차례 있었습니다.
어떻게 작동합니까?
파일을 감염시키기 위해 공간 필러는 먼저 빈 공간이 있는 파일을 찾아야 합니다. 따라서 빈 공간을 스캔해야 합니다. 파일 어딘가에서 빈 공간을 찾으면 자신을 복사하여 파일을 더 크게 만들지 않고 공간을 채웁니다. 따라서 바이러스 백신 프로그램으로 탐지하기가 어렵습니다.
바이러스가 자신을 복제할 수 있을 만큼 충분히 큰 공간을 계속 찾는 한 계속 복제할 것입니다. 가능한 모든 옵션을 감염시킨 다음 트리거될 때까지 유휴 상태로 있거나 적합한 새 파일이 나타날 때까지 검색을 계속할 수 있습니다. 나타납니다. 따라서 백그라운드에서 처리 능력을 소모하여 다른 작업 속도를 저하시킬 수 있습니다.
이 기술은 알려진 바이러스의 서명을 거의 독점적으로 찾는 원시적인 바이러스 백신 기술에 의존합니다. 기존 파일을 감염시켜 결과적으로 감염된 서명은 파일과 바이러스의 조합에 대해 고유합니다.
실제 예
1998년 CIH라는 바이러스가 이 기능을 시연했습니다. 체르노빌은 10년 이상 전 체르노빌 재난이 발생한 날짜에 탑재물이 부수적으로 트리거되도록 설정되었기 때문에 체르노빌이라는 별명이 붙었습니다. 이 바이러스는 특히 Portable Execution 또는 PE 파일의 공백을 표적으로 삼았습니다. 이러한 간격에 깔끔하게 맞도록 코드를 분할하고 파일 상단에 테이블을 삽입하여 코드 위치를 추적하여 제대로 실행될 수 있도록 했습니다.
그런 다음 CIH는 트리거 날짜에 저장소의 첫 번째 메가바이트를 0으로 덮어씁니다. 이것은 일반적으로 파티션 테이블이나 마스터 부트 레코드를 파괴했습니다. 손실되면 전체 드라이브가 지워진 것처럼 보입니다. 그러나 데이터는 복구 가능했습니다. 바이러스는 또한 BIOS 칩을 지우려고 시도합니다. 이것은 일부 장치에서만 성공적이었고 다른 장치에서는 그렇지 않았습니다. 지워진 BIOS 칩이 있는 장치에서 칩을 다시 프로그래밍하거나 교체해야 했습니다. 다른 대안은 새 컴퓨터를 구입하는 것이었습니다.
모두 CIH 바이러스로 인해 미화 10억 달러의 피해가 발생했으며 전 세계 6천만 대의 컴퓨터가 감염되었다고 합니다. 이 바이러스는 대만 Tatung University의 학생인 Chén Yíngháo가 작성했습니다. Chén은 이 바이러스가 바이러스 백신 개발자가 주장하는 지나치게 대담한 효율성 주장에 대한 도전으로 작성되었다고 주장했습니다. 그런 다음 급우들에 의해 공개되었지만 이것이 고의인지 우연인지는 확실하지 않습니다. Chén은 대학에 사과하고 CIH용 바이러스 백신을 게시했습니다. 당시 대만에는 컴퓨터 범죄 법률이 없었고 피해자가 소송을 제기하지 않았기 때문에 기소되지 않았습니다.
방지
캐비티 또는 스페이스필러 바이러스를 예방하는 가장 좋은 방법은 노출 위험을 최소화하는 것입니다. 한 가지 좋은 단계는 다운로드하거나 설치하는 모든 프로그램과 파일이 공식적이고 신뢰할 수 있는 출처에서 온 것인지 확인하는 것입니다. 역사적으로 바이러스 백신 프로그램은 캐비티 바이러스를 탐지하는 데 어려움이 있는 경향이 있습니다. 그러나 최신 바이러스 백신 기술은 훨씬 더 발전했습니다. 바이러스 백신을 최신 상태로 유지하고 최신 바이러스 서명으로 업데이트하여 알려진 바이러스를 더 쉽게 탐지하고 제거하는 것이 여전히 중요합니다.
이러한 유형의 바이러스는 더 이상 실제로 볼 수 없습니다. 바이러스 백신 기술이 상당히 발전하여 이런 종류의 것을 탐지하기가 훨씬 쉬워졌습니다. 또한 바이러스 제작자는 바이러스 백신 소프트웨어를 피하는 훨씬 더 창의적인 방법을 채택했습니다.
결론
공간 필러 바이러스라고도 하는 캐비티 바이러스는 다른 파일의 틈에 자신을 숨기는 맬웨어 유형입니다. 이 기술은 기본 파일 서명 검사로 감지하기 정말 어렵습니다. 또한 감염된 파일의 크기 조정을 피하여 탐지하기가 더욱 어렵습니다. 가장 잘 알려진 예인 CIH는 이 기술을 매우 효과적으로 사용했습니다. 필요한 만큼 코드를 분할하고 파일 상단에 표를 삽입하여 코드 위치를 추적했습니다. 최신 바이러스 백신 기술은 이러한 종류의 바이러스를 식별할 수 있으므로 일반적으로 사용되지 않습니다.