Цавити вирус је релативно неуобичајен тип вируса који се копира у неискоришћене просторе у датотекама, ширећи се на тај начин без утицаја на величину датотеке шта год да зарази. Понекад се називају и вирусима који „пуне простор“. Многе датотеке имају празне просторе који се обично занемарују када је у питању извршавање датотеке чији су део. Присуство ових простора није проблем - осим ако нису заражени вирусом, наравно.
Пошто се величина датотеке не мења, немогуће је знати да ли је датотека измењена искључиво провера његових својстава – уместо тога, морали бисте да га упоредите са претходном, неинфицираном верзијом да бисте били сигурно. Пуниоци простора постоје од 1998. године и прилично их је тешко уочити. Било је неколико веома успешних вирусних таласа око Виндовс 95/98 дана.
Како то функционише?
Да би заразио датотеке, попуњавач простора прво треба да пронађе датотеку која има празан простор у себи. Дакле, треба да скенира празна места. Када негде пронађе празан простор у датотеци, копираће се, попуњавајући простор без повећања датотеке. То отежава откривање антивирусним програмима.
Све док вирус наставља да проналази довољно велике просторе да се у њих копира, наставиће да то чини – ако нигде не пронађе или је већ инфицирао све могуће опције, онда може да мирује док се не покрене или једноставно да настави скенирање док се не појави нова датотека која му одговара појављује се. Као такав, трошиће процесорску снагу у позадини што може успорити друге ствари.
Ова техника се ослања на примитивне антивирусне технике које скоро искључиво траже потписе познатих вируса. Инфицирањем постојеће датотеке, резултујући инфицирани потпис је јединствен за комбинацију датотеке и вируса.
Прави пример
1998. вирус назван ЦИХ, демонстрирао је ову функционалност. Добио је надимак Чернобил јер је његов терет случајно постављен да се активира на датум катастрофе у Чернобиљу више од деценије раније. Вирус је посебно циљао празнине у Портабле Екецутион или ПЕ датотекама. Поделио је свој код да би се уредно уклапао у те празнине и уметнуо табелу на врх датотеке да прати локације свог кода како би могао да ради исправно.
ЦИХ би тада, на датум покретања, преписао први мегабајт меморије нулама. Ово је генерално уништило табелу партиција или главни запис за покретање. Губитак тога чини да изгледа као да је цео диск избрисан. Подаци су се, међутим, могли повратити. Вирус би такође покушао да обрише БИОС чип. Ово је било успешно само на неким уређајима, а не на другим. На уређајима са обрисаним БИОС чипом, било је потребно репрограмирање или замену чипа. Друга алтернатива је била набавка новог рачунара.
Процењује се да је ЦИХ вирус проузроковао штету од милијарду долара и да је заразио 60 милиона рачунара широм света. Вирус је написао Чен Иингхао, студент са Универзитета Татунг на Тајвану. Чен је тврдио да је вирус написан као изазов против претерано смелих тврдњи о ефикасности које су дали антивирусни програмери. Затим су га пустили другови из разреда, мада је нејасно да ли је то било намерно или случајно. Чен се извинио универзитету и објавио антивирус за ЦИХ. Оптужбе никада нису подигнуте јер у то време Тајван није имао закон о компјутерском криминалу и ниједна жртва није поднела тужбу.
Превенција
Спречавање каријесних вируса или вируса за попуњавање простора најбоље је урадити минимизирањем ризика од излагања. Један добар корак је да се уверите да су сви програми и датотеке које преузимате или инсталирате из званичног, поузданог извора. Антивирусни програми су историјски имали потешкоће у откривању цавити вируса. Међутим, модерне антивирусне технике су много напредније. И даље је важно да ваш антивирусни програм буде ажуриран и ажуриран најновијим вирусним потписима како бисте лакше открили и уклонили познате вирусе.
Ова врста вируса се више не види. Антивирусне технике су знатно напредовале, што олакшава откривање оваквих ствари. Поред тога, креатори вируса су такође усвојили још креативније методе избегавања антивирусног софтвера.
Закључак
Вирус шупљине, такође познат као вирус за попуњавање простора, је врста малвера који се крије у празнинама у другим датотекама. Ова техника заиста отежава откривање помоћу основних провера потписа датотека. Такође избегава прилагођавање величине заражене датотеке, што додатно отежава откривање. Најпознатији пример, ЦИХ, користио је ову технику са великим ефектом. Поделио је свој код на онолико празнина колико је требао и уметнуо табелу на врх датотеке да прати локацију свог кода. Савремене антивирусне технике су способне да идентификују ову врсту вируса, тако да се често не користе.