Ertmės virusas yra gana neįprastas viruso tipas, kuris kopijuoja į nenaudojamas failų vietas ir taip plinta nepaveikdamas užkrėsto failo dydžio. Kartais jie taip pat vadinami „erdvės užpildymo“ virusais. Daugelyje failų yra tuščių vietų, kurios paprastai ignoruojamos vykdant failą, kurio dalis jie yra. Šių erdvių buvimas nėra problema – žinoma, nebent jos yra užkrėstos virusu.
Kadangi failo dydis nepakeičiamas, neįmanoma žinoti, ar failas buvo pakeistas tik dėl patikrinti jo savybes – vietoj to turėtumėte palyginti ją su ankstesne, neužkrėsta versija tikrai. Erdvės užpildai buvo naudojami nuo 1998 m. ir juos gana sunku pastebėti. „Windows 95/98“ dienomis buvo keletas labai sėkmingų virusų bangų.
Kaip tai veikia?
Norėdami užkrėsti failus, tarpo užpildas pirmiausia turi rasti failą, kuriame yra tuščios vietos. Taigi, reikia nuskaityti, ar nėra tuščių vietų. Kai kur nors faile randa laisvos vietos, ji pati nusikopijuos, užpildydama erdvę nepadidindama failo. Tai apsunkina antivirusinių programų aptikimą.
Kol virusas ras pakankamai didelių erdvių, į kurias galėtų kopijuoti, jis tai darys ir toliau – jei niekur neranda arba jau yra užkrėstas visas įmanomas parinktis, tada jis gali neveikti, kol bus suaktyvintas, arba tiesiog tęsti nuskaitymą, kol atsiras naujas jam tinkamas failas pasirodo. Todėl fone bus sunaudota apdorojimo galia, o tai gali sulėtinti kitus dalykus.
Ši technika remiasi primityviomis antivirusinėmis technikomis, kurios beveik išimtinai ieško žinomų virusų parašų. Užkrėtus esamą failą, gautas užkrėstas parašas yra unikalus failo ir viruso deriniui.
Tikras pavyzdys
1998 m. virusas, vadinamas CIH, pademonstravo šią funkciją. Jis buvo pramintas Černobyliu, nes jo naudingoji apkrova buvo nustatyta, kad ji įsijungtų daugiau nei dešimt metų anksčiau įvykusios Černobylio katastrofos dieną. Virusas konkrečiai nukreipė į Portable Execution arba PE failų spragas. Jis padalijo savo kodą, kad gerai tilptų į šias spragas, ir įterpė lentelę failo viršuje, kad būtų galima stebėti kodo vietas, kad jis galėtų tinkamai veikti.
Tada CIH paleidimo datą perrašytų pirmąjį saugyklos megabaitą nuliais. Tai paprastai sunaikino skaidinių lentelę arba pagrindinį įkrovos įrašą. Praradus atrodo, kad visas diskas buvo nuvalytas. Tačiau duomenis buvo galima atkurti. Virusas taip pat bandys ištrinti BIOS lustą. Tai buvo sėkminga tik kai kuriuose įrenginiuose, o ne kituose. Įrenginiuose su nuvalyta BIOS mikroschema lustą reikėjo perprogramuoti arba pakeisti. Kita alternatyva buvo įsigyti naują kompiuterį.
Visi sakė, kad CIH virusas padarė 1 milijardo JAV dolerių žalą ir užkrėtė 60 milijonų kompiuterių visame pasaulyje. Virusą parašė Chén Yíngháo, Taivano Tatungo universiteto studentas. Chénas teigė, kad virusas buvo parašytas kaip iššūkis pernelyg drąsiems antivirusinių kūrėjų teiginiams dėl efektyvumo. Tada jį išleido klasės draugai, nors neaišku, ar tai buvo tyčia, ar netyčia. Chén atsiprašė universiteto ir paskelbė CIH antivirusinę programą. Jokie kaltinimai niekada nebuvo pareikšti, nes tuo metu Taivane trūko kompiuterinių nusikaltimų teisės aktų ir nė viena auka nepateikė ieškinio.
Prevencija
Apsisaugoti nuo ertmių ar tarpo užpildų virusų geriausia sumažinti poveikio riziką. Vienas geras žingsnis yra įsitikinti, kad visos atsisiunčiamos ar įdiegtos programos ir failai yra iš oficialaus, patikimo šaltinio. Antivirusinėms programoms istoriškai buvo sunku aptikti ertmių virusus. Tačiau šiuolaikinės antivirusinės technologijos yra daug pažangesnės. Vis dar svarbu nuolat atnaujinti savo antivirusinę programą ir atnaujinti naujausius virusų parašus, kad būtų lengviau aptikti ir pašalinti žinomus virusus.
Šio tipo viruso tikrai nebepasimato. Antivirusinės technologijos gerokai pažengė į priekį, todėl daug lengviau aptikti tokius dalykus. Be to, virusų kūrėjai taikė dar kūrybiškesnius metodus, kaip išvengti antivirusinės programinės įrangos.
Išvada
Ertmės virusas, taip pat žinomas kaip erdvės užpildymo virusas, yra kenkėjiškų programų tipas, kuris slepiasi kitų failų spragose. Dėl šios technikos labai sunku aptikti naudojant pagrindinius failo parašo patikrinimus. Taip pat vengiama koreguoti užkrėsto failo dydžio, todėl jį dar sunkiau aptikti. Labiausiai žinomas pavyzdys, CIH, panaudojo šią techniką puikiai. Jis padalino savo kodą į tiek spragų, kiek reikėjo, ir įterpė lentelę failo viršuje, kad būtų galima stebėti kodo vietą. Šiuolaikinės antivirusinės technologijos gali atpažinti tokio tipo virusus, todėl jis nėra plačiai naudojamas.