Een caviteitsvirus is een relatief ongebruikelijk type virus dat zichzelf kopieert naar ongebruikte ruimtes in bestanden en zich zo verspreidt zonder de bestandsgrootte te beïnvloeden van wat het infecteert. Ze worden ook wel "space filler"-virussen genoemd. Veel bestanden hebben lege ruimtes die normaal gesproken worden genegeerd als het gaat om het uitvoeren van het bestand waar ze deel van uitmaken. De aanwezigheid van deze ruimtes is geen probleem – tenzij ze zijn geïnfecteerd door een virus natuurlijk.
Aangezien er geen wijziging is aangebracht in de bestandsgrootte, is het onmogelijk om te weten of een bestand puur is gewijzigd door het controleren van zijn eigenschappen - in plaats daarvan zou je het moeten vergelijken met een eerdere, niet-geïnfecteerde versie Zeker. Ruimtevullers bestaan al sinds 1998 en zijn redelijk moeilijk te herkennen. Er waren verschillende zeer succesvolle virusgolven rond de dagen van Windows 95/98.
Hoe werkt het?
Om bestanden te infecteren, moet een ruimtevuller eerst een bestand vinden dat lege ruimte bevat. Het moet dus zoeken naar lege ruimtes. Wanneer het ergens lege ruimte in een bestand aantreft, zal het zichzelf kopiëren en de ruimte opvullen zonder het bestand groter te maken. Dat maakt het moeilijk te detecteren door antivirusprogramma's.
Zolang het virus ruimtes blijft vinden die groot genoeg zijn om zichzelf naar toe te kopiëren, zal het dat blijven doen – als het nergens kan vinden of als het al geïnfecteerd alle mogelijke opties, dan kan het inactief blijven totdat het wordt geactiveerd of gewoon doorgaan met scannen totdat een nieuw bestand daarvoor geschikt is komt naar voren. Als zodanig verbruikt het verwerkingskracht op de achtergrond, wat andere dingen kan vertragen.
Deze techniek is gebaseerd op primitieve antivirustechnieken die bijna uitsluitend zoeken naar handtekeningen van bekende virussen. Door een bestaand bestand te infecteren, is de resulterende geïnfecteerde handtekening uniek voor de combinatie van bestand en virus.
Een echt voorbeeld
In 1998 demonstreerde een virus genaamd CIH deze functionaliteit. Het kreeg de bijnaam Tsjernobyl omdat de lading per ongeluk meer dan tien jaar eerder zou worden geactiveerd op de datum van de ramp in Tsjernobyl. Het virus was specifiek gericht op hiaten in Portable Execution- of PE-bestanden. Het splitste zijn code om netjes in die gaten te passen en plaatste een tabel bovenaan het bestand om de locaties van zijn code bij te houden, zodat het correct kon werken.
CIH zou dan op de activeringsdatum de eerste megabyte aan opslagruimte overschrijven met nullen. Dit vernietigde over het algemeen de partitietabel of het master-opstartrecord. Als je dat verliest, lijkt het alsof de hele schijf is gewist. De gegevens konden echter worden hersteld. Het virus zou ook proberen de BIOS-chip te wissen. Dit was alleen succesvol op sommige apparaten en niet op andere. Op apparaten met een gewiste BIOS-chip moest de chip worden geherprogrammeerd of vervangen. Het andere alternatief was om een nieuwe computer te krijgen.
Alles bij elkaar genomen heeft het CIH-virus naar schatting 1 miljard dollar schade aangericht en 60 miljoen computers over de hele wereld geïnfecteerd. Het virus is geschreven door Chén Yíngháo, een student aan de Tatung University in Taiwan. Chén beweerde dat het virus was geschreven als een uitdaging tegen de overdreven gewaagde efficiëntieclaims van antivirusontwikkelaars. Het werd vervolgens vrijgegeven door klasgenoten, hoewel het onduidelijk is of dit opzettelijk of per ongeluk was. Chén verontschuldigde zich bij de universiteit en publiceerde een antivirusprogramma voor CIH. Er zijn nooit aanklachten ingediend omdat Taiwan op dat moment geen wetgeving op het gebied van computercriminaliteit had en geen slachtoffers een rechtszaak aanspanden.
Preventie
Het voorkomen van holte- of spacefiller-virussen kan het beste worden gedaan door uw blootstellingsrisico te minimaliseren. Een goede stap is ervoor te zorgen dat alle programma's en bestanden die u downloadt of installeert afkomstig zijn van een officiële, betrouwbare bron. Antivirusprogramma's hadden van oudsher de neiging om problemen met het detecteren van caviteitsvirussen te hebben. Moderne antivirustechnieken zijn echter veel geavanceerder. Het is nog steeds belangrijk om uw antivirus up-to-date te houden en bij te werken met de nieuwste virushandtekeningen, zodat bekende virussen gemakkelijker kunnen worden opgespoord en verwijderd.
Dit type virus wordt niet echt meer gezien. Antivirustechnieken zijn aanzienlijk verbeterd, waardoor het veel gemakkelijker is om dit soort dingen te detecteren. Bovendien hebben virusmakers nog creatievere methoden gebruikt om antivirussoftware te vermijden.
Conclusie
Een caviteitsvirus, ook wel space filler virus genoemd, is een type malware dat zich verbergt in gaten in andere bestanden. Deze techniek maakt het erg moeilijk om te detecteren met basiscontroles van bestandshandtekeningen. Het voorkomt ook dat de grootte van het geïnfecteerde bestand wordt aangepast, waardoor het nog moeilijker te detecteren is. Het meest bekende voorbeeld, CIH, gebruikte deze techniek met groot succes. Het splitste zijn code over zoveel gaten als nodig was en voegde een tabel toe bovenaan het bestand om de locatie van zijn code bij te houden. Moderne antivirustechnieken zijn in staat om dit soort virussen te identificeren, dus het wordt niet vaak gebruikt.