Boşluk virüsü, kendini dosyalardaki kullanılmayan alanlara kopyalayan ve böylece bulaştığı şeyin dosya boyutunu etkilemeden yayılan nispeten nadir bir virüs türüdür. Bunlara bazen "boşluk dolduran" virüsler de denir. Çoğu dosya, parçası oldukları dosyanın yürütülmesi söz konusu olduğunda normalde yok sayılan boş alanlara sahiptir. Bu boşlukların varlığı bir sorun değil – tabi ki bir virüs bulaşmamışsa.
Dosya boyutunda herhangi bir değişiklik yapılmadığından, bir dosyanın yalnızca kullanıcı tarafından değiştirilip değiştirilmediğini bilmek imkansızdır. özelliklerini kontrol etmek - bunun yerine, daha önceki, virüs bulaşmamış bir sürümle karşılaştırmanız gerekir. Elbette. Boşluk doldurucular 1998'den beri var ve tespit edilmesi oldukça zor. Windows 95/98 günlerinde birkaç çok başarılı virüs dalgası yaşandı.
O nasıl çalışır?
Dosyalara bulaşmak için, bir boşluk doldurucunun önce içinde boş alan olan bir dosyayı bulması gerekir. Bu nedenle, boş alanları taraması gerekiyor. Bir yerde bir dosyada boş alan bulduğunda, dosyayı büyütmeden boşluğu doldurarak kendini kopyalar. Bu, anti-virüs programları tarafından tespit edilmesini zorlaştırır.
Virüs kendisini kopyalayacak kadar büyük alanlar bulmaya devam ettiği sürece, bunu yapmaya devam edecektir - eğer hiçbir yerde bulamazsa veya zaten olası tüm seçeneklere bulaştıysa, tetiklenene kadar boşta kalabilir veya kendisine uygun yeni bir dosya gelene kadar taramaya devam edebilir. görünür. Bu nedenle, diğer şeyleri yavaşlatabilen arka planda işlem gücü tüketecektir.
Bu teknik, neredeyse tamamen bilinen virüslerin imzalarını arayan ilkel antivirüs tekniklerine dayanır. Mevcut bir dosyaya bulaştığında, ortaya çıkan virüslü imza, dosya ve virüs kombinasyonuna özgüdür.
gerçek bir örnek
1998'de CIH adlı bir virüs bu işlevselliği gösterdi. Takma adı Çernobil idi, çünkü yükü tesadüfen on yıldan fazla bir süre önce Çernobil felaketinin olduğu tarihte tetiklenecek şekilde ayarlanmıştı. Virüs, özellikle Portable Execution veya PE dosyalarındaki boşlukları hedef aldı. Kodunu bu boşluklara düzgün bir şekilde sığacak şekilde böldü ve düzgün çalışabilmesi için kodunun konumlarını izlemek üzere dosyanın üstüne bir tablo ekledi.
CIH daha sonra, tetikleme tarihinde, ilk megabayt depolama alanının üzerine sıfırlar yazacaktı. Bu genellikle bölüm tablosunu veya ana önyükleme kaydını yok eder. Bunu kaybetmek, tüm sürücü silinmiş gibi görünmesini sağlar. Ancak veriler kurtarılabilirdi. Virüs ayrıca BIOS çipini de silmeye çalışır. Bu, yalnızca bazı cihazlarda başarılı oldu, bazılarında başarılı olmadı. Silinmiş bir BIOS çipine sahip cihazlarda, çipin yeniden programlanması veya değiştirilmesi gerekiyordu. Diğer alternatif ise yeni bir bilgisayar almaktı.
Hepsi, CIH virüsünün 1 milyar ABD Doları zarara neden olduğu ve dünya çapında 60 milyon bilgisayara bulaştığı tahmin edildiğini söyledi. Virüs, Tayvan'daki Tatung Üniversitesi'nde öğrenci olan Chén Yíngháo tarafından yazıldı. Chén, virüsün antivirüs geliştiricileri tarafından ileri sürülen aşırı cesur verimlilik iddialarına karşı bir meydan okuma olarak yazıldığını iddia etti. Daha sonra sınıf arkadaşları tarafından yayınlandı, ancak bunun kasıtlı mı yoksa kazara mı olduğu belli değil. Chén üniversiteden özür diledi ve CIH için bir antivirüs yayınladı. Hiçbir suçlama yapılmadı çünkü o zamanlar Tayvan'da bilgisayar suçları mevzuatı yoktu ve hiçbir kurban dava açmadı.
önleme
Boşluk veya boşluk doldurucu virüslerini önlemenin en iyi yolu, maruz kalma riskinizi en aza indirmektir. İyi bir adım, indirdiğiniz veya yüklediğiniz tüm programların ve dosyaların resmi, güvenilir bir kaynaktan olduğundan emin olmaktır. Antivirüs programları, tarihsel olarak kavite virüslerini tespit etmekte zorluk çekme eğilimindeydi. Bununla birlikte, modern antivirüs teknikleri çok daha gelişmiştir. Bilinen virüsleri tespit etmeyi ve kaldırmayı kolaylaştırmak için antivirüsünüzü güncel ve en son virüs imzalarıyla güncel tutmak yine de önemlidir.
Bu virüs türü artık gerçekten görülmemektedir. Antivirüs teknikleri, bu tür şeyleri tespit etmeyi çok daha kolaylaştıracak şekilde önemli ölçüde ilerlemiştir. Ek olarak, virüs yaratıcıları, antivirüs yazılımlarından kaçınmak için daha da yaratıcı yöntemler benimsemiştir.
Çözüm
Boşluk doldurucu virüs olarak da bilinen boşluk virüsü, kendisini diğer dosyalardaki boşluklara gizleyen bir kötü amaçlı yazılım türüdür. Bu teknik, temel dosya imza kontrolleriyle algılamayı gerçekten zorlaştırır. Ayrıca virüslü dosyanın boyutunu ayarlamaktan kaçınarak tespit edilmesini daha da zorlaştırır. En iyi bilinen örnek olan CIH, bu tekniği büyük bir etki için kullandı. Kodunu gerektiği kadar boşluğa böldü ve kodunun konumunu izlemek için dosyanın üstüne bir tablo ekledi. Modern antivirüs teknikleri bu tür virüsleri tanımlayabilir, bu nedenle yaygın olarak kullanılmaz.