Virus votline je razmeroma redka vrsta virusa, ki se kopira v neuporabljene prostore v datotekah in se tako širi, ne da bi vplival na velikost datoteke, ki jo okuži. Včasih jih imenujemo tudi virusi, ki polnijo prostor. Številne datoteke imajo prazne prostore, ki se običajno ne upoštevajo, ko gre za izvajanje datoteke, katere del so. Prisotnost teh prostorov ni problem – razen če so okuženi z virusom, seveda.
Ker se velikost datoteke ne spremeni, je nemogoče vedeti, ali je datoteko spremenil zgolj preverjanje njegovih lastnosti – namesto tega bi ga morali primerjati s prejšnjo, neokuženo različico seveda. Polnila prostora obstajajo od leta 1998 in jih je razmeroma težko opaziti. V dneh Windows 95/98 je bilo več zelo uspešnih virusnih valov.
Kako deluje?
Da bi lahko okužil datoteke, mora zapolnjevalec prostora najprej najti datoteko, v kateri je prazen prostor. Torej mora skenirati prazne prostore. Ko nekje najde prazen prostor v datoteki, se kopira vanjo in zapolni prostor, ne da bi povečal datoteko. Zaradi tega ga protivirusni programi težko odkrijejo.
Dokler virus išče prostore, ki so dovolj veliki, da se vanj kopira, bo to počel še naprej – če ne najde nikjer ali je že okužil vse možne možnosti, potem lahko miruje, dokler se ne sproži, ali pa preprosto nadaljuje s pregledovanjem, dokler ne najde nove datoteke, primerne zanj se pojavi. Kot tak bo porabil procesorsko moč v ozadju, kar lahko upočasni druge stvari.
Ta tehnika temelji na primitivnih protivirusnih tehnikah, ki skoraj izključno iščejo podpise znanih virusov. Z okužbo obstoječe datoteke je nastali okuženi podpis edinstven za kombinacijo datoteke in virusa.
Pravi primer
Leta 1998 je virus, imenovan CIH, dokazal to delovanje. Vzdevek Černobil je dobil, ker je bil njegov tovor mimogrede nastavljen tako, da se sproži na datum černobilske katastrofe več kot desetletje prej. Virus je posebej ciljal na vrzeli v datotekah Portable Execution ali PE. Svojo kodo je razdelil tako, da se je lepo prilegal v te vrzeli, in vstavil tabelo na vrh datoteke, da bi sledil lokacijam svoje kode, da bi lahko pravilno deloval.
CIH bi nato na datum sprožitve prvi megabajt prostora za shranjevanje prepisal z ničlami. To je običajno uničilo particijsko tabelo ali glavni zagonski zapis. Izguba, zaradi katere je videti, kot da je bil celoten pogon izbrisan. Vendar je bilo podatke mogoče obnoviti. Virus bi poskušal tudi izbrisati BIOS čip. To je bilo uspešno samo na nekaterih napravah, na drugih pa ne. Pri napravah z izbrisanim čipom BIOS-a je bilo treba čip ponovno programirati ali zamenjati. Druga možnost je bila nakup novega računalnika.
Ocenjuje se, da je virus CIH povzročil milijardo ameriških dolarjev škode in okužil 60 milijonov računalnikov po vsem svetu. Virus je napisal Chén Yíngháo, študent univerze Tatung v Tajvanu. Chén je trdil, da je bil virus napisan kot izziv proti preveč drznim trditvam o učinkovitosti razvijalcev protivirusnih programov. Nato so ga izdali sošolci, čeprav ni jasno, ali je bilo to namerno ali po naključju. Chén se je opravičil univerzi in objavil protivirusni program za CIH. Nikoli ni bila vložena nobena obtožba, ker v tistem času Tajvan ni imel zakonodaje o računalniškem kriminalu in nobena žrtev ni vložila tožbe.
Preprečevanje
Preprečevanje virusov kariesa ali polnilca prostora je najbolje narediti tako, da zmanjšate tveganje izpostavljenosti. Dober korak je zagotoviti, da so vsi programi in datoteke, ki jih prenesete ali namestite, iz uradnega, zaupanja vrednega vira. Protivirusni programi so v preteklosti imeli težave pri odkrivanju kavitetnih virusov. Sodobne protivirusne tehnike pa so veliko naprednejše. Še vedno je pomembno, da svoj protivirusni program posodabljate in posodabljate z najnovejšimi virusnimi podpisi, da boste lažje odkrili in odstranili znane viruse.
Te vrste virusa pravzaprav ni več. Protivirusne tehnike so precej napredovale, zaradi česar je veliko lažje odkriti tovrstne stvari. Poleg tega so ustvarjalci virusov sprejeli še bolj ustvarjalne metode za izogibanje protivirusni programski opremi.
Zaključek
Virus cavity, znan tudi kot virus za polnjenje prostora, je vrsta zlonamerne programske opreme, ki se skriva v vrzeli v drugih datotekah. Zaradi te tehnike jo je zelo težko zaznati z osnovnimi preverjanji podpisov datotek. Prav tako se izogne prilagajanju velikosti okužene datoteke, zaradi česar jo je še težje odkriti. Najbolj znani primer, CIH, je to tehniko uporabil za velik učinek. Svojo kodo je razdelil na toliko vrzeli, kot jih je potreboval, in vstavil tabelo na vrh datoteke, da bi sledil lokaciji kode. Sodobne protivirusne tehnike lahko prepoznajo to vrsto virusa, zato se pogosto ne uporablja.