Kas ir dobuma vīruss?

Dobuma vīruss ir salīdzinoši rets vīrusa veids, kas kopē sevi neizmantotās vietās failos, tādējādi izplatoties, neietekmējot inficētā faila lielumu. Tos dažreiz sauc arī par "telpas aizpildīšanas vīrusiem". Daudzos failos ir tukšas vietas, kuras parasti tiek ignorētas, izpildot failu, kurā tie ietilpst. Šo vietu klātbūtne nav problēma — ja vien tās, protams, nav inficētas ar vīrusu.

Tā kā faila lielums netiek mainīts, nav iespējams zināt, vai failu ir mainījis tikai pārbaudot tās rekvizītus – tā vietā jums tas būtu jāsalīdzina ar iepriekšējo, neinficēto versiju, lai tā būtu protams. Kosmosa pildvielas pastāv kopš 1998. gada, un tās ir diezgan grūti pamanīt. Windows 95/98 dienās bija vairāki ļoti veiksmīgi vīrusu viļņi.

Kā tas darbojas?

Lai inficētu failus, atstarpes aizpildītājam vispirms ir jāatrod fails, kurā ir tukša vieta. Tātad, tai ir jāmeklē tukšas vietas. Kad tas kaut kur failā atrod tukšu vietu, tas iekopēs sevi, aizpildot vietu, nepalielinot failu. Tas apgrūtina pretvīrusu programmu noteikšanu.

Kamēr vīruss atradīs pietiekami lielas vietas, lai iekopētu sevi, tas turpinās to darīt – ja tas nekur neatradīs vai jau ir inficē visas iespējamās opcijas, tad tas var palikt dīkstāvē līdz tiek aktivizēts vai vienkārši turpināt skenēšanu, līdz tiek parādīts jauns tam piemērots fails parādās. Tādējādi tas patērēs apstrādes jaudu fonā, kas var palēnināt citas darbības.

Šī metode balstās uz primitīvām pretvīrusu metodēm, kas gandrīz tikai meklē zināmu vīrusu parakstus. Inficējot esošu failu, iegūtais inficētais paraksts ir unikāls faila un vīrusa kombinācijai.

Reāls piemērs

1998. gadā vīruss ar nosaukumu CIH demonstrēja šo funkcionalitāti. Tā tika nosaukta par Černobiļu, jo tās kravnesība nejauši tika iestatīta Černobiļas katastrofas datumā pirms vairāk nekā desmit gadiem. Vīruss īpaši mērķēja uz nepilnībām Portable Execution vai PE failos. Tā sadalīja savu kodu, lai precīzi ietilptu šajās spraugās, un faila augšdaļā ievietoja tabulu, lai izsekotu koda atrašanās vietām, lai tas varētu darboties pareizi.

Pēc tam CIH iedarbināšanas datumā pārrakstītu pirmo krātuves megabaitu ar nullēm. Tas parasti iznīcināja nodalījuma tabulu vai galveno sāknēšanas ierakstu. Zaudējot, šķiet, ka viss disks ir noslaucīts. Tomēr datus varēja atgūt. Vīruss arī mēģinātu notīrīt BIOS mikroshēmu. Tas bija veiksmīgs tikai dažās ierīcēs, bet citās ne. Ierīcēs ar notīrītu BIOS mikroshēmu mikroshēma bija jāpārprogrammē vai jānomaina. Otra alternatīva bija jauna datora iegāde.

Tiek lēsts, ka CIH vīruss ir nodarījis zaudējumus USD 1 miljarda apmērā un inficējis 60 miljonus datoru visā pasaulē. Vīrusu uzrakstīja Chen Yíngháo, Taivānas Tatungas universitātes students. Chen apgalvoja, ka vīruss tika uzrakstīts kā izaicinājums pret pārāk drosmīgajiem efektivitātes apgalvojumiem, ko izteikuši antivīrusu izstrādātāji. Pēc tam to izlaida klasesbiedri, lai gan nav skaidrs, vai tas bija apzināti vai nejauši. Čens atvainojās universitātei un publicēja CIH antivīrusu. Apsūdzības nekad netika izvirzītas, jo tajā laikā Taivānā nebija tiesību aktu par datornoziegumiem un neviens upuris neiesniedza prasību tiesā.

Profilakse

Dobuma vai spacefiller vīrusu novēršanu vislabāk var izdarīt, samazinot iedarbības risku. Viens labs solis ir pārliecināties, ka visas programmas un faili, ko lejupielādējat vai instalējat, ir no oficiāla, uzticama avota. Vēsturiski pretvīrusu programmām bija grūtības noteikt dobuma vīrusus. Tomēr mūsdienu pretvīrusu metodes ir daudz progresīvākas. Joprojām ir svarīgi atjaunināt savu pretvīrusu un atjaunināt to ar jaunākajiem vīrusu parakstiem, lai būtu vieglāk atklāt un noņemt zināmos vīrusus.

Šis vīrusa veids vairs nav īsti redzams. Pretvīrusu metodes ir ievērojami attīstījušās, padarot šādas lietas daudz vieglāk atklāt. Turklāt vīrusu radītāji ir pieņēmuši vēl radošākas metodes, kā izvairīties no pretvīrusu programmatūras.

Secinājums

Dobuma vīruss, kas pazīstams arī kā vietas aizpildīšanas vīruss, ir ļaunprātīgas programmatūras veids, kas slēpjas citu failu spraugās. Šis paņēmiens apgrūtina to noteikšanu, veicot pamata failu paraksta pārbaudes. Tas arī ļauj izvairīties no inficētā faila lieluma pielāgošanas, padarot to vēl grūtāk atklāt. Vispazīstamākais piemērs CIH izmantoja šo paņēmienu lieliski. Tā sadalīja savu kodu pa tik daudzām atstarpēm, cik nepieciešams, un faila augšdaļā ievietoja tabulu, lai izsekotu koda atrašanās vietu. Mūsdienu pretvīrusu metodes spēj identificēt šāda veida vīrusus, tāpēc tas netiek plaši izmantots.