Полостной вирус — это относительно необычный тип вируса, который копирует себя в неиспользуемые места в файлах, таким образом распространяясь, не влияя на размер файла того, что он заражает. Иногда их также называют вирусами «заполнителей пространства». Во многих файлах есть пустые места, которые обычно игнорируются, когда дело доходит до выполнения файла, частью которого они являются. Наличие этих пробелов не проблема — если они, конечно, не заражены вирусом.
Поскольку размер файла не изменяется, невозможно узнать, был ли файл изменен исключительно проверка его свойств — вместо этого вам придется сравнить его с предыдущей, незараженной версией, чтобы конечно. Космические наполнители существуют с 1998 года, и их довольно трудно обнаружить. В дни Windows 95/98 было несколько очень успешных вирусных волн.
Как это работает?
Чтобы заразить файлы, заполнителю пространства сначала нужно найти файл, в котором есть пустое место. Итак, ему нужно сканировать пустые места. Когда он находит где-то пустое место в файле, он копирует себя, заполняя пространство, не увеличивая файл. Это затрудняет обнаружение антивирусными программами.
Пока вирус находит места, достаточно большие для того, чтобы копировать себя, он будет продолжать это делать — если он нигде не найдет или уже заразил все возможные варианты, то может бездействовать до срабатывания или просто продолжать сканирование до тех пор, пока не появится новый подходящий для него файл появляется. Таким образом, он будет потреблять вычислительную мощность в фоновом режиме, что может замедлить другие вещи.
Этот метод основан на примитивных антивирусных методах, которые почти исключительно ищут сигнатуры известных вирусов. При заражении существующего файла получающаяся зараженная сигнатура уникальна для комбинации файла и вируса.
Реальный пример
В 1998 году вирус под названием CIH продемонстрировал эту функциональность. Он получил прозвище Чернобыль, потому что его полезная нагрузка была случайно настроена на запуск в день чернобыльской катастрофы более десяти лет назад. Вирус специально нацелен на пробелы в файлах Portable Execution или PE. Он разделил свой код, чтобы аккуратно заполнить эти пробелы, и вставил таблицу вверху файла, чтобы отслеживать расположение своего кода, чтобы он мог работать правильно.
Затем CIH в дату срабатывания перезапишет первый мегабайт памяти нулями. Обычно это разрушало таблицу разделов или основную загрузочную запись. Потеря этого создает впечатление, что весь диск был стерт. Однако данные удалось восстановить. Вирус также попытается стереть микросхему BIOS. Это было успешно только на некоторых устройствах, а не на других. На устройствах со стертым чипом BIOS либо требовалось перепрограммирование, либо замена чипа. Другая альтернатива заключалась в том, чтобы получить новый компьютер.
В общей сложности вирус CIH, по оценкам, нанес ущерб в размере 1 миллиарда долларов США и заразил 60 миллионов компьютеров по всему миру. Вирус был написан Ченом Ингао, студентом Татунгского университета на Тайване. Чен утверждал, что вирус был написан как вызов чрезмерно смелым заявлениям разработчиков антивирусов об эффективности. Затем его выпустили одноклассники, хотя неясно, было ли это намеренно или случайно. Чен извинился перед университетом и опубликовал антивирус для CIH. Никаких обвинений так и не было предъявлено, потому что в то время на Тайване отсутствовало законодательство о компьютерных преступлениях, и ни один потерпевший не подал иск.
Профилактика
Профилактика полых или космических вирусов лучше всего достигается за счет сведения к минимуму риска заражения. Один хороший шаг — убедиться, что все программы и файлы, которые вы загружаете или устанавливаете, получены из официального, заслуживающего доверия источника. Исторически сложилось так, что антивирусные программы с трудом обнаруживают полостные вирусы. Однако современные антивирусные технологии гораздо более продвинуты. По-прежнему важно поддерживать антивирус в актуальном состоянии и обновлять его с помощью последних сигнатур вирусов, чтобы упростить обнаружение и удаление известных вирусов.
Этот тип вируса больше не встречается. Антивирусные методы значительно усовершенствовались, что значительно упрощает обнаружение подобных вещей. Кроме того, создатели вирусов также применяют еще более творческие методы обхода антивирусного программного обеспечения.
Заключение
Вирус полости, также известный как вирус заполнения пространства, представляет собой тип вредоносного ПО, которое прячется в промежутках в других файлах. Этот метод действительно затрудняет обнаружение с помощью основных проверок подписи файлов. Он также позволяет избежать изменения размера зараженного файла, что еще больше затрудняет его обнаружение. Самый известный пример, CIH, использовал эту технику с большим успехом. Он разделил свой код на столько пробелов, сколько ему было нужно, и вставил таблицу вверху файла, чтобы отслеживать местоположение своего кода. Современные антивирусные технологии способны идентифицировать вирусы такого типа, поэтому они обычно не используются.