Un virus cu cavități este un tip de virus relativ neobișnuit care se copiază în spații neutilizate din fișiere, răspândindu-se astfel fără a afecta dimensiunea fișierului a ceea ce infectează. Uneori sunt numiți și viruși „de umplere a spațiului”. Multe fișiere au spații goale care sunt în mod normal ignorate atunci când vine vorba de executarea fișierului din care fac parte. Prezența acestor spații nu este o problemă – cu excepția cazului în care sunt infectate de un virus, desigur.
Deoarece nu se modifică dimensiunea fișierului, este imposibil să știți dacă un fișier a fost modificat doar de verificarea proprietăților sale – în schimb, ar trebui să-l comparați cu o versiune anterioară, neinfectată sigur. Umplutoarele de spațiu există din 1998 și sunt destul de greu de observat. Au existat câteva valuri de viruși foarte reușite în jurul Windows 95/98 zile.
Cum functioneazã?
Pentru a infecta fișierele, un umpletor de spațiu trebuie mai întâi să găsească un fișier care are spațiu gol în el. Deci, trebuie să scaneze pentru spații goale. Când găsește spațiu gol într-un fișier undeva, se va copia singur, umplând spațiul fără a mări fișierul. Acest lucru face dificilă detectarea de către programele antivirus.
Atâta timp cât virusul continuă să găsească spații suficient de mari pentru a se copia, va continua să facă acest lucru – dacă nu găsește nicăieri sau este deja a infectat toate opțiunile posibile, apoi poate rămâne inactiv până la declanșare sau pur și simplu își va continua scanarea până când un fișier nou potrivit pentru el apare. Ca atare, va consuma putere de procesare în fundal, ceea ce poate încetini alte lucruri.
Această tehnică se bazează pe tehnici antivirus primitive care caută aproape exclusiv semnăturile virușilor cunoscuți. Prin infectarea unui fișier existent, semnătura infectată rezultată este unică pentru combinația de fișier și virus.
Un exemplu real
În 1998, un virus numit CIH a demonstrat această funcționalitate. A fost poreclit Cernobîl, deoarece sarcina sa utilă a fost setat să se declanșeze la data dezastrului de la Cernobîl cu mai bine de un deceniu mai devreme. Virusul a vizat în mod special golurile din fișierele Portable Execution sau PE. Și-a împărțit codul pentru a se potrivi perfect în acele goluri și a inserat un tabel în partea de sus a fișierului pentru a urmări locațiile codului său, astfel încât să poată rula corect.
Apoi, CIH ar suprascrie, la data declanșării, primul megaoctet de stocare cu zerouri. În general, aceasta a distrus tabelul de partiții sau înregistrarea de pornire principală. Pierderea asta face să pară ca și cum întreaga unitate a fost ștearsă. Datele au fost însă recuperabile. Virusul ar încerca, de asemenea, să ștergă cipul BIOS. Acest lucru a avut succes doar pe unele dispozitive și nu pe altele. Pe dispozitivele cu un cip BIOS șters, fie cipul a trebuit reprogramat, fie înlocuit. Cealaltă alternativă a fost să obțineți un computer nou.
Se estimează că virusul CIH a provocat daune de un miliard de dolari și a infectat 60 de milioane de computere din întreaga lume. Virusul a fost scris de Chén Yíngháo, student la Universitatea Tatung din Taiwan. Chén a susținut că virusul a fost scris ca o provocare împotriva afirmațiilor de eficiență prea îndrăznețe făcute de dezvoltatorii de antivirus. Apoi a fost lansat de colegii de clasă, deși nu este clar dacă a fost intenționat sau accidental. Chén și-a cerut scuze universității și a publicat un antivirus pentru CIH. Nu au fost aduse acuzații, deoarece la acea vreme, Taiwanul nu avea legislație privind criminalitatea informatică și nicio victimă nu a prezentat un proces.
Prevenirea
Prevenirea virușilor carii sau a umplerii spațiului se face cel mai bine prin reducerea la minimum a riscului de expunere. Un pas bun este să vă asigurați că toate programele și fișierele pe care le descărcați sau le instalați provin dintr-o sursă oficială, de încredere. În trecut, programele antivirus au avut tendința de a avea dificultăți în detectarea virușilor cavității. Cu toate acestea, tehnicile antivirus moderne sunt mult mai avansate. Este încă important să vă mențineți antivirusul la zi și actualizat cu cele mai recente semnături de viruși pentru a facilita detectarea și eliminarea virușilor cunoscuți.
Acest tip de virus nu se mai vede cu adevărat. Tehnicile antivirus au avansat considerabil, făcând mult mai ușoară detectarea acestui gen de lucruri. În plus, creatorii de viruși au adoptat și metode și mai creative de a evita software-ul antivirus.
Concluzie
Un virus cavity, cunoscut și sub numele de virus de umplere a spațiului, este un tip de malware care se ascunde în golurile din alte fișiere. Această tehnică face foarte greu de detectat cu verificările de bază ale semnăturii fișierelor. De asemenea, evită ajustarea dimensiunii fișierului infectat, făcându-l și mai greu de detectat. Cel mai cunoscut exemplu, CIH, a folosit această tehnică cu mare efect. Și-a împărțit codul în câte goluri avea nevoie și a inserat un tabel în partea de sus a fișierului pentru a urmări locația codului său. Tehnicile antivirus moderne sunt capabile să identifice acest tip de virus, așa că nu este folosit în mod obișnuit.